CN110719263B - 多租户dns安全管理方法、装置及存储介质 - Google Patents
多租户dns安全管理方法、装置及存储介质 Download PDFInfo
- Publication number
- CN110719263B CN110719263B CN201910875360.9A CN201910875360A CN110719263B CN 110719263 B CN110719263 B CN 110719263B CN 201910875360 A CN201910875360 A CN 201910875360A CN 110719263 B CN110719263 B CN 110719263B
- Authority
- CN
- China
- Prior art keywords
- information
- client
- server
- tenant
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出一种多租户DNS安全管理方法、装置及计算机可读存储介质,其方法包括:web门户服务器基于客户端的访问事件获取客户端的客户信息;web门户服务器将客户信息发送给Apache服务器,Apache服务器根据预设的用户身份数据库对租户信息进行安全验证;Apache服务器将已通过安全验证的租户信息对应的访问请求数据信息发送给DNS服务器;DNS服务器根据访问请求数据信息生成访问路径反馈给客户端。本发明还提出一种电子装置及计算机可读存储介质。本发明通过部署多个安全防护单元建立多租户DNS安全管理系统,能够有效防止DNS服务器以及应用服务器因受外部流量攻击出现内部信息被窃或服务器硬件被损的问题。
Description
技术领域
本发明涉及计算机域名解析技术领域,尤其涉及一种多租户DNS安全管理方法、装置及计算机可读存储介质。
背景技术
DNS(Domain Name System,域名系统)为因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使客户端更方便的访问互联网,而不用去记住能够被机器直接读取的网络协议(Internet Protocol,IP)数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析。DNS协议运行在UDP协议之上,使用端口号53。
随着互联网业务,尤其是移动互联网业务的迅猛发展,互联网已经深入到社会生活的方方面面,人们一分钟都离不开互联网。DNS作为互联网的基础服务,几乎所有的应用都要依赖于DNS,由于DNS暴露在公网中,极易成为不法分子的攻击目标,是互联网系统最大的软肋。所以,如何使DNS能够抵御各种安全风险,一直是移动互联领域致力解决的问题之一。
在现有技术中,DNS安全防护体系过度依赖抗分布式拒绝服务(DistributedDenial of Service,DDoS)系统,在识别到攻击时(一般通过设置总体流量阈值来确定),使用抗DDoS系统在DNS前端对攻击流量进行识别和清洗,而未识别到攻击时(攻击流量未超过设置的阈值),则放任攻击流量进入DNS。为了减少维护工作量,一般没有针对路由器、防火墙、DNS主机等设备进行精细化的安全加固,或者加固措施不完整,在网络层面把DNS完全暴露在互联网中。
上述现有技术中这种基于抗DDoS系统的单一防范方法,可能会存在以下问题:
在攻击流量未超过设置的阈值时,这部分攻击流量进入DNS,会对DNS的正常运行带来不利影响,且会影响运营商对DNS正常业务流量的判断,进而影响扩容。
抗DDoS系统作为一种干扰设备,当攻击发生时,其对攻击流量进行清洗的同时,会对部分正常流量造成破坏,影响到正常业务。事实证明,抗DDoS系统在流量清洗过程中,对用户上网业务的影响,比较明显;
抗DDoS系统主要关注的是流量总量,对DNS业务层面的攻击(如具备很大杀伤力的递归攻击)无能为力。当系统遭受递归攻击时(攻击流量并未超过设置的阈值),抗DDoS系统并未监测到,而DNS业务可能已经受到影响。
基于上述问题,亟需一种能够对DNS服务器进行有效的多层次安全管理的方法。
发明内容
本发明提供一种多租户DNS安全管理方法、电子装置以及计算机存储介质,其主要目的在于通过部署多个安全防护单元建立一种多租户DNS安全管理系统,有效地防止DNS服务器以及应用服务器受到外部流量攻击出现内部信息被窃或服务器硬件被损的问题。
为实现上述目的,本发明提供一种电子装置,该电子装置包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的多租户DNS安全管理程序,所述多租户DNS安全管理程序被所述处理器执行时实现如下步骤:
基于客户端的访问事件获取所述客户端的客户信息,其中,所述客户信息包括租户信息以及访问请求数据信息;
将所述客户信息发送给Apache服务器,以供所述Apache服务器根据预设的用户身份数据库对所述租户信息进行安全验证;
将已通过安全验证的租户信息对应的访问请求数据信息发送给所述DNS服务器。
优选地,在所述基于客户端的访问事件获取所述客户端的客户信息之前还包括,接收客户端的服务网站访问请求,所述客户信息预存储在所述客户端的预设文件包中;通过服务网站读取所述文件包中的客户信息以及所述客户端的IP地址信息;
所述基于客户端的访问事件获取所述客户端的客户信息的过程包括,当读取的客户信息与所述IP地址信息对应时,通过所述服务网站获取所述客户信息。
此外,为实现上述目的,本发明还提供一种多租户DNS安全管理方法,该方法包括:
web门户服务器基于客户端的访问事件获取所述客户端的客户信息,并将所述客户信息发送给Apache服务器;其中,所述web门户服务器建立在所述客户端与DNS服务器之间,所述客户信息包括租户信息以及访问请求数据信息;
所述Apache服务器根据预设的用户身份数据库对所述租户信息进行安全验证,并将已通过安全验证的租户信息对应的访问请求数据信息发送给所述DNS服务器;其中,所述Apache服务器建立在所述web门户服务器与所述DNS服务器之间,所述用户身份数据库为所述Apache服务器的预设数据库;
所述DNS服务器根据所述访问请求数据信息生成访问路径,并反馈所述访问路径给所述客户端。
优选地,所述web门户服务器中预设有客户信息的格式要求,在所述web门户服务器将所述客户信息发送给Apache服务器之前还包括:
所述web门户服务器根据所述格式要求对所述客户信息进行格式验证,若所述客户信息符合所述格式要求,则将所述客户信息发送给所述Apache服务器。
优选地,所述租户信息包括租户域名、租户IP地址以及租户网段,至少一个所述租户信息为标记信息,所述Apache服务器根据预设的用户身份数据库对所述租户信息进行安全验证包括:
所述Apache服务器根据所述标记信息对所述用户身份数据库进行检索,并将检索到的数据信息与所述租户信息进行对比,若所述租户信息与所述数据信息完全一致,则所述租户信息通过安全验证。
优选地,在所述DNS服务器反馈所述访问路径给所述客户端之后还包括:
所述客户端根据所述访问路径继续所述访问事件,以实现对应用服务器的访问;在所述应用服务器外设置有防火墙,所述客户端的访问指令经所述防火墙后访问所述应用服务器。
优选地,所述防火墙具有防火墙策略,所述防火墙策略具有预设的访问规则;
当所述访问指令符合所述访问规则时,所述防火墙允许所述访问指令继续访问所述应用服务器;
当所述访问指令不符合所述访问规则时,所述防火墙拒绝所述访问指令继续访问所述应用服务器;
其中,所述访问规则包括:在所述防火墙上预设访问端口参数,当判断出所述访问指令的端口参数与所述防火墙上预设的访问端口参数一致时,得出所述访问指令符合所述访问规则。
优选地,在所述web门户服务器基于客户端的访问事件获取所述客户端的客户信息之前还包括,所述客户端访问所述web门户服务器的预设服务网站,所述客户信息存储在所述客户端的文件包中;所述web门户服务器通过所述服务网站读取所述文件包内的客户信息以及所述客户端的IP地址信息;
所述web门户服务器基于客户端的访问事件获取所述客户端的客户信息包括,当读取的客户信息与所述IP地址信息对应时,所述web门户服务器通过所述服务网站获取所述客户信息。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,计算机可读存储介质中包括多租户DNS安全管理程序,多租户DNS安全管理程序被处理器执行时,实现上述电子装置中的多租户DNS安全管理程序被执行时的步骤。
本发明提出的多租户DNS安全管理方法、电子装置及计算机可读存储介质,首先在客户端与DNS服务器之间建立web门户服务器以及Apache服务器,然后通过web门户服务器配合Apache服务器对访问的用户信息进行一系列的安全筛选,经过一系列的安全筛选后才允许租户通过客户端访问DNS服务器,通过建立这种多层次的安全防护系统,能够显著提高DNS服务器的安全防护等级,防止DNS服务器受到外部非正常流量的攻击。
附图说明
图1为本发明提供的电子装置的较佳实施例结构示意图;
图2为本发明提供的多租户DNS安全管理方法的较佳实施例流程图;
图3为本发明提供的网络构架中的访问路线示意图;
图4为本发明提供的根据网络构架形成的多租户DNS安全管理方法的具体实施例流程图;
图5为本发明提供的多租户DNS安全管理程序的内部模块示意图。
附图中:客户端1、web门户服务器2、Apache服务器3、防火墙4、应用服务器5、DNS服务器主节点61、DNS服务器从节点62、电子装置70、处理器71、存储器72、多租户DNS安全管理程序73。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种多租户DNS安全管理方法,应用于一种电子装置70。参照图1所示,该图为本发明提供的电子装置70的较佳实施例结构示意图。
在本实施例中,电子装置70可以是服务器、智能手机、平板电脑、便携计算机、桌上型计算机等具有运算功能的终端设备。
该电子装置70包括:处理器71以及存储器72。
存储器72包括至少一种类型的可读存储介质。至少一种类型的可读存储介质可为如闪存、硬盘、多媒体卡、卡型存储器等的非易失性存储介质。在一些实施例中,可读存储介质可以是该电子装置70的内部存储单元,例如该电子装置70的硬盘。在另一些实施例中,可读存储介质也可以是电子装置1的外部存储器,例如电子装置70上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
在本实施例中,存储器72的可读存储介质通常用于存储安装于电子装置70的多租户DNS安全管理程序73。存储器72还可以用于暂时地存储已经输出或者将要输出的数据。
处理器72在一些实施例中可以是一中央处理器(Central Processing Unit,CPU),微处理器或其他数据处理芯片,用于运行存储器72中存储的程序代码或处理数据,例如多租户DNS安全管理程序73等。
在一些实施例中,电子装置70为智能手机、平板电脑、便携计算机等的终端设备。在其他实施例中,电子装置70可以为服务器。
图1仅示出了具有组件71-73的电子装置70,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
可选地,该电子装置70还可以包括用户接口,用户接口可以包括输入单元比如键盘(Keyboard)、语音输入装置比如麦克风(microphone)等具有语音识别功能的设备、语音输出装置比如音响、耳机等,可选地用户接口还可以包括标准的有线接口、无线接口。
可选地,该电子装置70还可以包括显示器,显示器也可以称为显示屏或显示单元。在一些实施例中可以是LED显示器、液晶显示器、触控式液晶显示器以及有机发光二极管(Organic Light-Emitting Diode,OLED)触摸器等。显示器用于显示在电子装置70中处理的信息以及用于显示可视化的用户界面。
可选地,该电子装置70还可以包括触摸传感器。触摸传感器所提供的供用户进行触摸操作的区域称为触控区域。此外,这里的触摸传感器可以为电阻式触摸传感器、电容式触摸传感器等。而且,触摸传感器不仅包括接触式的触摸传感器,也可包括接近式的触摸传感器等。此外,触摸传感器可以为单个传感器,也可以为例如阵列布置的多个传感器。
此外,该电子装置70的显示器的面积可以与触摸传感器的面积相同,也可以不同。可选地,将显示器与触摸传感器层叠设置,以形成触摸显示屏。该装置基于触摸显示屏侦测用户触发的触控操作。
可选地,该电子装置70还可以包括射频(Radio Frequency,RF)电路,传感器、音频电路等等,在此不再赘述。
此外,图2为本发明提供的多租户DNS安全管理方法的较佳实施例流程图;在图1所示的装置实施例中,作为一种计算机存储介质的存储器72中可以包括操作系统、以及多租户DNS安全管理程序73;处理器71执行存储器72中存储的多租户DNS安全管理程序73时实现图2所示的如下步骤:
基于客户端1的访问事件获取客户端1的客户信息,其中,客户信息包括租户信息以及访问请求数据信息;
将客户信息发送给Apache服务器3,以供Apache服务器3根据预设的用户身份数据库对租户信息进行安全验证;
将已通过安全验证的租户信息对应的访问请求数据信息发送给DNS服务器。
此外,在基于客户端的访问事件获取客户端1的客户信息之前还包括,接收客户端1的服务网站访问请求,客户信息预存储在客户端1的预设文件包中;通过服务网站读取文件包中的客户信息以及客户端1的IP地址信息;
基于客户端1的访问事件获取客户端1的客户信息的过程包括,当读取的客户信息与IP地址信息对应时,通过服务网站获取客户信息。
在本发明的一个具体的实施方式中,为了更加高效的完成对多租户的DNS的安全管理,本发明采用一种由客户端1、web门户服务器2、Apache服务器3、DNS服务器以及应用服务器5组成的网络构架。
另外,为便于理解该网络构架,本发明还提供了该网络构架中的访问路线示意图(如图3所示)以及根据该网络构架形成的多租户DNS安全管理方法的具体实施例流程图(如图4所示)。
结合图3以及图4共同所示,当客户通过客户端1发起访问时,web门户服务器2基于客户端1的访问事件获取客户端1的客户信息;其中,web门户服务器2预先建立在客户端1与DNS服务器之间,客户信息包括租户信息以及访问请求数据信息;租户信息为客户的相关信息,访问请求数据信息为客户需要访问的应用服务器5的相关信息。需要说明的是,web门户服务器2通常会以一个服务网站为预设网站,客户通过客户端1发起访问后会先访问服务网站,web门户服务器2会基于客户端1对服务网站的访问获取客户端1的客户信息;web门户服务器2的各功能程序为预先设定好的,由于web门户服务器2的建立过程以及其内部程序的设定为本领域的常用手段,这里不再赘述。
web门户服务器2将获取的客户信息发送给Apache服务器3,Apache服务器3根据预设的用户身份数据库对租户信息进行安全验证;其中,Apache服务器3建立在web门户服务器2与DNS服务器之间,并可与这两个服务器(web门户服务器和DNS服务器)进行数据交换,用户身份数据库为Apache服务器3的预设数据库。需要说明的是,该用户身份数据库中的数据均在各租户办理相应的服务时获取,因此,该用户身份数据库中预先存储有所有租户的数据信息。
若该租户信息通过Apache服务器3对其的安全验证,则Apache服务器3将该租户信息对应的访问请求数据信息发送给DNS服务器;若该租户信息未通过Apache服务器3对其的安全验证,则Apache服务器3拒绝将该租户信息对应的访问请求数据信息发送给DNS服务器。
DNS服务器根据接收到的访问请求数据信息生成相应的访问路径并将该访问路径反馈给客户端1。
具体地,该访问请求数据信息可以包括客户需要访问的应用服务器5的域名、网段等,DNS服务器首先对应用服务器的域名进行解析,解析出应用服务器5的IP地址,一般情况下,一个域名对应多个IP地址;DNS服务器将该域名对应的所有IP地址保存到相应的配置文件中以便于后期的数据交换,然后在解析出的所有的IP地址中随机的选取一个并将其作为访问路径反馈给相应的客户端1。
本发明通过在客户端1与DNS服务器之间建立web门户服务器2以及Apache服务器3,将客户端1与DNS服务器隔离开,并通过用户身份数据库安全验证的方式对客户端1的客户信息进行数据检验,能够有效的防止DNS服务器受到正常流量的攻击,提高DNS服务器的安全防护等级。
在本发明的一个优选的实施方式中,由于访问DNS服务器的流量非常大,为避免Apache服务器3出现超负荷现象,影响整个DNS安全防护系统的正常运转,可以在web门户服务器2中预设客户信息的格式要求,该格式要求可以是字数要求、字符类型要求或其他类型的格式要求,具体情况根据客户信息的数据类型而定。web门户服务器2在将客户信息发送给Apache服务器3之前需要先通过格式要求对客户信息进行格式验证;若客户信息符合该格式要求,则web门户服务器2再将客户信息发送至Apache服务器3;若客户信息有不符合该格式要求,web门户服务器2将屏蔽掉该客户信息。
当然,这种先期格式验证的方法不仅能够降低Apache服务器3的负荷,还能够有效地提高DNS服务器的安全防护等级。
具体地,租户信息包括租户域名、租户IP地址以及租户网段,为了便于检索,可以在各项租户信息中预先设定一个标记信息,Apache服务器3可以根据该标记信息对用户身份数据库进行检索,检索出包含该标记信息的数据信息;
Apache服务器3将检索到的数据信息与租户信息进行对比,若租户信息包含的各项信息与数据信息包含的各项信息完全一致,则Apache服务器3将与该租户信息对应的访问请求数据信息发送给DNS服务器。若不完全一致,则Apache服务器3拒绝将该访问请求数据信息发送给DNS服务器。通过这种方式能够实现对租户信息的全面验证,确保租户信息的安全性,从而进一步提高DNS服务器的安全防护等级。
具体地,本发明提供的多租户DNS安全管理方法还包括客户端根据访问路径继续访问事件以实现对应用服务器的访问;此外,为保证应用服务器5中数据的安全,还可以在应用服务器5外设置防火墙4,客户端1的访问指令需经防火墙4后才能对应用服务器5进行访问。
具体地,在防火墙4内设置有防火墙策略,在防火墙策略内预设有访问规则;当访问指令符合访问规则时,防火墙4允许访问指令继续访问应用服务器5;当访问指令不符合访问规则时,防火墙4拒绝访问指令继续访问应用服务器5;其中,访问规则包括:在防火墙上预设访问端口参数,通过判断访问指令的端口参数与防火墙4上预设的访问端口参数是否一致来确定访问指令是否符合访问规则。
在本发明的一个优选的实施方式中,客户信息存储在客户端1的文件包中,当客户端1访问服务网站时,服务网站直接读取文件包内的客户信息以及客户端1的IP地址信息;当读取的客户信息与IP地址信息对应时,web门户服务器2通过服务器网站获取客户信息;当读取的客户信息与IP地址信息不对应时,web门户服务器2停止获取客户信息。通过这种方式能够进一步提高多租户DNS安全管理系统的安全等级,并有效地防止应用服务器5内部数据被窃。
此外,Apache服务器3将检索到的数据信息与租户信息进行对比,若租户信息与数据信息一致,Apache服务器3还将租户信息以及访问请求数据信息同步至DNS服务器主节点61以及DNS服务器从节点62内。通过这种方式能够便于后续通过主从节点交换数据,增强整个多租户DNS安全管理系统的可靠性。
上述实施例提出的电子装置1,过在客户端1与DNS服务器之间建立web门户服务器2以及Apache服务器3,先通过web门户服务器2配合Apache服务器3对访问用户信息进行一系列的安全筛选,经过一系列的安全筛选后才允许租户通过客户端1访问DNS服务器,通过建立这种多层次的安全防护系统,能够显著提高DNS服务器的安全防护等级,有效防止DNS服务器受到外部非正常流量的攻击,此外,通过在应用服务器5外建立预设有访问规则的防火墙,还能够显著提高应用服务器5的安全等级。
在其他实施例中,多租户DNS安全管理程序73还可以被分割为一个或者多个模块,一个或者多个模块被存储于存储器72中,并由处理器71执行,以完成本发明。本发明所称的模块是指能够完成特定功能的一系列计算机程序指令段。参照图5所示,为图1中多租户DNS安全管理程序73较佳实施例的程序模块图。多租户DNS安全管理程序73可以被分割为:客户信息获取模块74、用户身份数据库检索模块75、租户信息对比模块76以及访问路径生成模块77。模块74-77所实现的功能或操作步骤均与上文类似,此处不再详述,示例性地,例如其中:
客户信息获取模块74,用于基于客户端1的访问事件获取客户端1的客户信息;
用户身份安全验证模块75,用于将客户信息发送给Apache服务器3,Apache服务器3根据预设的用户身份数据库对租户信息进行安全验证;
访问路径生成模块76,用于将已通过安全验证的租户信息对应的访问请求数据信息发送给DNS服务器,DNS服务器根据访问请求数据信息生成访问路径反馈给客户端1;
应用服务器访问模块77,用于根据访问路径继续访问事件以实现对应用服务器5的访问。
此外,本发明还提供一种多租户DNS安全管理方法。参照图2所示,为本发明提供的多租户DNS安全管理方法较佳实施例的流程图。该方法可以由一个装置执行,该装置可以由软件和/或硬件实现。
在本实施例中,多租户DNS安全管理方法包括如下步骤:
基于客户端的访问事件获取客户端的客户信息,其中,客户信息包括租户信息以及访问请求数据信息;
将客户信息发送给Apache服务器,以供Apache服务器根据预设的用户身份数据库对租户信息进行安全验证;
将已通过安全验证的租户信息对应的访问请求数据信息发送给DNS服务器。
优选地,在基于客户端的访问事件获取客户端的客户信息之前还包括,接收客户端的服务网站访问请求,客户信息预存储在客户端的预设文件包中;通过服务网站读取文件包中的客户信息以及客户端的IP地址信息;
基于客户端的访问事件获取客户端的客户信息的过程包括,当读取的客户信息与IP地址信息对应时,通过服务网站获取客户信息。
本发明提供的多租户DNS安全管理方法的具体实施方式与上述电子装置的具体实施方式大致相同,在此不再赘述。
此外,本发明实施例还提出一种计算机可读存储介质,计算机可读存储介质中包括多租户DNS安全管理程序,多租户DNS安全管理程序被处理器执行时实现如下操作:
基于客户端的访问事件获取客户端的客户信息,其中,客户信息包括租户信息以及访问请求数据信息;
将客户信息发送给Apache服务器,以供Apache服务器根据预设的用户身份数据库对租户信息进行安全验证;
将已通过安全验证的租户信息对应的访问请求数据信息发送给DNS服务器;
若客户信息符合格式要求,则web门户服务器2再将客户信息发送给Apache服务器3。
优选地,在基于客户端的访问事件获取客户端的客户信息之前还包括,接收客户端的服务网站访问请求,客户信息预存储在客户端的预设文件包中;通过服务网站读取文件包中的客户信息以及客户端的IP地址信息;
基于客户端的访问事件获取客户端的客户信息的过程包括,当读取的客户信息与IP地址信息对应时,通过服务网站获取客户信息。
本发明提供的计算机可读存储介质的具体实施方式与上述多租户DNS安全管理方法、电子装置的具体实施方式大致相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种多租户DNS安全管理方法,其特征在于,所述方法包括:
接收客户端的服务网站访问请求,通过服务网站读取所述客户端的客户信息以及IP地址信息;其中,所述客户信息预存储在所述客户端的预设文件包中,所述客户信息包括租户信息以及访问请求数据信息;
当所述服务网站读取的客户信息与所述IP地址信息对应时,通过所述服务网站获取所述客户信息;
将所述客户信息发送给Apache服务器,以供所述Apache服务器根据预设的用户身份数据库对所述租户信息进行安全验证;
将已通过安全验证的租户信息对应的访问请求数据信息发送给DNS服务器。
2.一种多租户DNS安全管理方法,其特征在于,所述方法包括:
web门户服务器基于客户端的访问事件获取所述客户端的客户信息,并将所述客户信息发送给Apache服务器;其中,所述web门户服务器建立在所述客户端与DNS服务器之间,所述客户信息包括租户信息以及访问请求数据信息;其中,所述web门户服务器中预设有客户信息的格式要求,在所述web门户服务器将所述客户信息发送给Apache服务器之前还包括:所述web门户服务器根据所述格式要求对所述客户信息进行格式验证,若所述客户信息符合所述格式要求,则将所述客户信息发送给所述Apache服务器;
所述Apache服务器根据预设的用户身份数据库对所述租户信息进行安全验证,并将已通过安全验证的租户信息对应的访问请求数据信息发送给所述DNS服务器;其中,所述Apache服务器建立在所述web门户服务器与所述DNS服务器之间,所述用户身份数据库为所述Apache服务器的预设数据库;
所述DNS服务器根据所述访问请求数据信息生成访问路径,并反馈所述访问路径给所述客户端。
3.根据权利要求2所述的多租户DNS安全管理方法,其特征在于,所
述租户信息包括租户域名、租户IP地址以及租户网段,至少一个所述租户信息为标记信息,所述Apache服务器根据预设的用户身份数据库对所述租户信息进行安全验证包括:
所述Apache服务器根据所述标记信息对所述用户身份数据库进行检索,并将检索到的数据信息与所述租户信息进行对比,若所述租户信息与所述数据信息完全一致,则所述租户信息通过安全验证。
4.根据权利要求2所述的多租户DNS安全管理方法,其特征在于,在
所述DNS服务器反馈所述访问路径给所述客户端之后还包括:
所述客户端根据所述访问路径继续所述访问事件,以实现对应用服务器的访问;在所述应用服务器外设置有防火墙,所述客户端的访问指令经所述防火墙后访问所述应用服务器。
5.根据权利要求4所述的多租户DNS安全管理方法,其特征在于,
所述防火墙具有防火墙策略,所述防火墙策略具有预设的访问规则;
当所述访问指令符合所述访问规则时,所述防火墙允许所述访问指令继续访问所述应用服务器;
当所述访问指令不符合所述访问规则时,所述防火墙拒绝所述访问指令继续访问所述应用服务器;
其中,所述访问规则包括:在所述防火墙上预设访问端口参数,当判断出所述访问指令的端口参数与所述防火墙上预设的访问端口参数一致时,得出所述访问指令符合所述访问规则。
6.根据权利要求2所述的多租户DNS安全管理方法,其特征在于,
在所述web门户服务器基于客户端的访问事件获取所述客户端的客户信息之前还包括,所述客户端访问所述web门户服务器的预设服务网站,所述客户信息存储在所述客户端的文件包中;所述web门户服务器通过所述服务
网站读取所述文件包内的客户信息以及所述客户端的IP地址信息;
所述web门户服务器基于客户端的访问事件获取所述客户端的客户信息包括,当读取的客户信息与所述IP地址信息对应时,所述web门户服务器通过所述服务网站获取所述客户信息。
7.一种电子装置,其特征在于,所述电子装置包括:存储器、处理器以
及存储在所述存储器中并可在所述处理器上运行的多租户DNS安全管理程序,所述多租户DNS安全管理程序被所述处理器执行时实现如权利要求1所述的多租户DNS安全管理方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质
中包括多租户DNS安全管理程序,所述多租户DNS安全管理程序被处理器执行时,实现如权利要求1所述的多租户DNS安全管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910875360.9A CN110719263B (zh) | 2019-09-17 | 2019-09-17 | 多租户dns安全管理方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910875360.9A CN110719263B (zh) | 2019-09-17 | 2019-09-17 | 多租户dns安全管理方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110719263A CN110719263A (zh) | 2020-01-21 |
CN110719263B true CN110719263B (zh) | 2023-03-28 |
Family
ID=69209883
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910875360.9A Active CN110719263B (zh) | 2019-09-17 | 2019-09-17 | 多租户dns安全管理方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110719263B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111491012B (zh) * | 2020-03-27 | 2023-05-09 | 北京尚医智信健康管理有限公司 | SaaS多租户数据隔离访问方法、装置、电子设备及存储介质 |
CN114765630B (zh) * | 2022-02-16 | 2024-04-26 | 杭州湖畔网络技术有限公司 | 多租户平台的数据访问方法、多租户平台及服务器 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102685081A (zh) * | 2011-03-17 | 2012-09-19 | 腾讯科技(深圳)有限公司 | 一种网页请求安全处理方法及系统 |
CN108881111A (zh) * | 2017-05-10 | 2018-11-23 | 中兴通讯股份有限公司 | 一种实现多租户系统的方法及装置 |
US10333979B1 (en) * | 2014-06-10 | 2019-06-25 | Amazon Technologies, Inc. | Multi-tenant network data validation service |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546579A (zh) * | 2010-12-31 | 2012-07-04 | 北大方正集团有限公司 | 一种提供系统资源的方法、装置及系统 |
CN104427499B (zh) * | 2013-09-11 | 2018-11-13 | 中国电信股份有限公司 | 基于万维网的无线局域网接入认证方法与系统 |
CN106330948A (zh) * | 2016-09-09 | 2017-01-11 | 杭州华三通信技术有限公司 | 一种报文控制方法及装置 |
-
2019
- 2019-09-17 CN CN201910875360.9A patent/CN110719263B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102685081A (zh) * | 2011-03-17 | 2012-09-19 | 腾讯科技(深圳)有限公司 | 一种网页请求安全处理方法及系统 |
US10333979B1 (en) * | 2014-06-10 | 2019-06-25 | Amazon Technologies, Inc. | Multi-tenant network data validation service |
CN108881111A (zh) * | 2017-05-10 | 2018-11-23 | 中兴通讯股份有限公司 | 一种实现多租户系统的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110719263A (zh) | 2020-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9990507B2 (en) | Adapting decoy data present in a network | |
JP6334069B2 (ja) | 悪意のあるコードの検出の精度保証のためのシステムおよび方法 | |
EP3178011B1 (en) | Method and system for facilitating terminal identifiers | |
CN1771709B (zh) | 用于产生网络攻击特征标记的方法和装置 | |
US8554907B1 (en) | Reputation prediction of IP addresses | |
US20150040227A1 (en) | System, method, and computer program product for preventing a modification to a domain name system setting | |
US20110239291A1 (en) | Detecting and Thwarting Browser-Based Network Intrusion Attacks For Intellectual Property Misappropriation System and Method | |
US20060272008A1 (en) | Method and security system for indentifying and blocking web attacks by enforcing read-only parameters | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
US11818151B2 (en) | Identification of malicious domain campaigns using unsupervised clustering | |
US11888879B2 (en) | System and method for monitoring security of a computer network | |
JP2004015530A5 (zh) | ||
CN109766694B (zh) | 一种工控主机的程序协议白名单联动方法及装置 | |
KR20090019451A (ko) | 피싱 및 파밍 알림 방법 및 장치 | |
US20150264067A1 (en) | Web server/web application server security management apparatus and method | |
CN110719263B (zh) | 多租户dns安全管理方法、装置及存储介质 | |
CN111431753A (zh) | 一种资产信息更新方法、装置、设备及存储介质 | |
CN112417443A (zh) | 数据库防护方法、装置、防火墙及计算机可读存储介质 | |
CN111935123B (zh) | 一种检测dns欺骗攻击的方法、设备、存储介质 | |
CN113098865A (zh) | 一种浏览器指纹获取方法、装置、电子设备及存储介质 | |
JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
WO2016118153A1 (en) | Marking nodes for analysis based on domain name system resolution | |
US11425162B2 (en) | Detection of malicious C2 channels abusing social media sites | |
US10462180B1 (en) | System and method for mitigating phishing attacks against a secured computing device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |