CN113660243A - 应用防护方法、系统、可读存储介质及计算机设备 - Google Patents
应用防护方法、系统、可读存储介质及计算机设备 Download PDFInfo
- Publication number
- CN113660243A CN113660243A CN202110917451.1A CN202110917451A CN113660243A CN 113660243 A CN113660243 A CN 113660243A CN 202110917451 A CN202110917451 A CN 202110917451A CN 113660243 A CN113660243 A CN 113660243A
- Authority
- CN
- China
- Prior art keywords
- protection
- virtualization
- network interface
- instance
- virtual network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种应用防护方法、系统、可读存储介质及装置,包括:创建若干虚拟化防护实例,并为虚拟化防护实例分配硬件资源;创建与虚拟化防护实例对应的虚拟网络接口;执行虚拟化防护实例,以使虚拟化防护实例将虚拟网络接口与虚拟化防护实例的自身管理接口对应连接;通过在虚拟网络接口访问对应的虚拟化防护实例的管理服务,通过管理服务设定虚拟化防护实例的部署模式,以使虚拟化防护实例通过物理网络接口提供安全防护服务。本发明通过设置虚拟化防护实例,显著降低虚拟化因素导致的网络性能开销;防护实例之间相互独立、可运行于不同的部署模式,具有独立的配置存储、数据存储及管理服务。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及应用防护方法、系统、可读存储介质及计算机设备。
背景技术
目前应用层的攻击愈发多样,需要对WEB应用进行网络安全防御,于是出现了WEB应用防护装置以解决上述问题。
WEB应用防护装置具有分析应用缺陷、屏蔽恶意请求、防范网页篡改、阻断应用攻击,全方位保护WEB应用的功能。
而目前的相关技术中存在以下缺点:由于单个WEB应用防护装置只能运行于一种部署模式,并且所有用户的配置、日志等均保存在同一个文件、目录或数据表中,导致所产生的配置、日志等业务数据无法实现有效隔离,并且单个WEB应用防护装置在配置过程中一旦出现失误容易造成整体业务中断。
发明内容
本申请实施例提供了一种应用防护方法、系统、可读存储介质及计算机设备,以至少解决上述相关技术中的不足。
第一方面,本申请实施例提供了一种应用防护方法,所述方法包括:
创建若干虚拟化防护实例,并为所述虚拟化防护实例分配硬件资源;
创建与所述虚拟化防护实例对应的虚拟网络接口;
执行所述虚拟化防护实例,以使所述虚拟化防护实例将所述虚拟网络接口与所述虚拟化防护实例的自身管理接口对应连接;
通过在所述虚拟网络接口访问对应的所述虚拟化防护实例的管理服务,通过所述管理服务设定所述虚拟化防护实例的部署模式,以使所述虚拟化防护实例通过物理网络接口提供安全防护服务。
在其中一些实施例中,所述硬件资源至少包括CPU、内存、物理网络接口,所述创建若干虚拟化防护实例,并为所述虚拟化防护实例分配硬件资源的步骤包括:
通过虚拟化工具创建所述虚拟化防护实例,依次将与业务对应连接的物理网络接口以硬件直通的方式划分至对应的所述虚拟化防护实例中。
在其中一些实施例中,所述创建与所述虚拟化防护实例对应的虚拟网络接口的步骤之后,所述方法还包括:
为所述虚拟网络接口提供动态主机配置协议服务,并将所述虚拟网络接口映射到管理地址上。
在其中一些实施例中,所述执行所述虚拟化防护实例,以使所述虚拟化防护实例将所述虚拟网络接口与所述虚拟化防护实例的自身管理接口对应连接的步骤具体包括:
为所述虚拟网络接口分配IP地址,并控制所述虚拟化防护实例将所述IP地址设置到所述自身管理接口上,以实现所述虚拟网络接口与所述自身管理接口对应连接。
在其中一些实施例中,所述通过在所述虚拟网络接口访问对应的所述虚拟化防护实例的管理服务,通过所述管理服务设定所述虚拟化防护实例的部署模式,以使所述虚拟化防护实例通过所述物理网络接口提供安全防护服务的步骤具体包括:
通过所述管理地址上映射的所述虚拟网络接口访问对应的所述虚拟化防护实例的管理服务;
通过所述管理服务设定所述虚拟化防护实例的部署模式;将与所述虚拟化防护实例对应的所述物理网络接口连接至网络环境中,以使所述虚拟化防护实例通过所述物理网络接口处理业务流量,进而提供所述安全防护服务。
第二方面,本申请实施例提供了一种应用防护系统,所述系统包括:
第一创建模块,用于创建若干虚拟化防护实例,并为所述虚拟化防护实例分配硬件资源;
第二创建模块,用于创建与所述虚拟化防护实例对应的虚拟网络接口;
执行模块,用于执行所述虚拟化防护实例,以使所述虚拟化防护实例将所述虚拟网络接口与所述虚拟化防护实例的自身管理接口对应连接;
控制模块,用于通过在所述虚拟网络接口访问对应的所述虚拟化防护实例的管理服务,通过所述管理服务设定所述虚拟化防护实例的部署模式,以使所述虚拟化防护实例通过物理网络接口提供安全防护服务。
在其中一些实施例中,所述硬件资源至少包括CPU、内存、物理网络接口,所述第一创建模块包括:
第一创建单元,用于通过虚拟化工具创建所述虚拟化防护实例,依次将与业务对应连接的物理网络接口以硬件直通的方式划分至对应的所述虚拟化防护实例中。
在其中一些实施例中,所述执行模块包括:
分配单元,用于为所述虚拟网络接口分配IP地址,并控制所述虚拟化防护实例将所述IP地址设置到所述自身管理接口上,以实现所述虚拟网络接口与所述自身管理接口对应连接。
第三方面,本申请实施例提供了一种可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的应用防护方法。
第四方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如上述第一方面所述的应用防护方法。
相比于相关技术,本申请实施例提供的应用防护方法、系统、可读存储介质及计算机设备,利用直通技术将一台硬件设备的一个或多个物理网络接口及相关计算资源分配给若干虚拟化防护实例,显著降低虚拟化因素导致的网络性能开销;每个虚拟化防护实例对应创建一个虚拟网络接口,使得防护实例之间是相互独立的,可运行于不同的部署模式,具有独立的配置存储、数据存储及管理服务,且支持单独升级;本方法容易满足复杂业务环境中不同用户的特定需求,出现故障时影响面小,用户间的业务数据可实现安全隔离。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明第一实施例中的应用防护方法的流程图;
图2为本发明第二实施例中的应用防护方法的流程图;
图3为本发明第三实施例中的应用防护系统的结构框图;
图4为本发明第四实施例中的计算机设备的结构框图。
主要元件符号说明:
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
首先,需要说明的是,硬件虚拟化:利用处理器提供的特定指令集(如Intel CPU的VT-x和AMD CPU提供的AMD-V),在一个给定的平台上宿主机创造一个模拟的计算机环境提供给客户机。
硬件直通:利用处理器提供的特定指令集(如Intel CPU的VT-d和AMD CPU提供的IOMMU),将一个给定的平台上宿主机的硬件资源完整分配给客户机。
部署模式:WEB应用防护装置可工作于透明代理、反向代理、旁路监控等若干部署模式。
透明代理模式将设备串接到客户端与服务器之间,客户端和服务器通常感知不到WEB应用防护装置的存在,对业务环境的网络拓扑影响较小;
反向代理模式位于客户端与服务器之间,但是对于客户端而言,WEB应用防护装置就相当于服务器,即客户端直接访问WEB应用防护装置就可以获得目标服务器的资源。
旁路监控需要通过辅助装置(如交换机或路由器)将网络流量镜像到WEB应用防护装置上,WEB应用防护装置仅提供流量的检测服务,无法实现阻断防护功能。
实施例一
请参阅图1,所示为本发明第一实施例中的应用防护方法,具体包括步骤S101至S104:
S101,创建若干虚拟化防护实例,并为所述虚拟化防护实例分配硬件资源;
在具体实施时,用户通过宿主机管理平台创建虚拟化防护实例,并为实例分配CPU、内存、物理网络接口等硬件资源,并将给定的物理网络接口以硬件直通的方式分配给虚拟化防护实例,应当理解的,宿主机即WEB应用防护装置,宿主机管理平台、宿主机系统均属于WEB应用防护装置中的一部分,且作为WEB应用防护装置中的基础设施运行,用户不可见。
S102,创建与所述虚拟化防护实例对应的虚拟网络接口;
在具体实施时,宿主机系统为虚拟化防护实例额外添加一个虚拟网络接口,用于访问虚拟化防护实例的管理服务。
S103,执行所述虚拟化防护实例,以使所述虚拟化防护实例将所述虚拟网络接口与所述虚拟化防护实例的自身管理接口对应连接;
在具体实施时,宿主机启动虚拟化防护实例,虚拟化防护实例在启动之后通过虚拟网络接口获取IP地址;同时,虚拟化防护实例将通过虚拟网络接口获取的IP地址设置到自身管理接口上,并将自己的管理平台所用端口上报给宿主机管理平台。
S104,通过在所述虚拟网络接口访问对应的所述虚拟化防护实例的管理服务,通过所述管理服务设定所述虚拟化防护实例的部署模式,以使所述虚拟化防护实例通过所述物理网络接口提供安全防护服务。
在具体实施时,宿主机管理平台为虚拟化防护实例的管理平台创建端口映射,映射端口可由宿主机管理员指定,也可由宿主机管理平台自动分配;
用户通过虚拟网络接口访问对应的虚拟化防护实例的管理服务,通过管理服务来设定虚拟化防护实例的部署模式,并将该虚拟化防护实例对应的物理网络接口连接到网络环境中,虚拟化防护实例能够通过该物理网络接口处理业务流量,提供安全防护服务。
综上,本发明上述实施例当中的应用防护方法,利用直通技术将一台硬件设备的一个或多个物理网络接口及相关计算资源分配给若干虚拟化防护实例,显著降低虚拟化因素导致的网络性能开销;每个虚拟化防护实例对应创建一个虚拟网络接口,使得防护实例之间是相互独立的,可运行于不同的部署模式,具有独立的配置存储、数据存储及管理服务,且支持单独升级;本方法容易满足复杂业务环境中不同用户的特定需求,出现故障时影响面小,用户间的业务数据可实现安全隔离。
实施例二
请参阅图2,所示为本发明第二实施例中的应用防护方法,具体包括步骤S201至S206:
S201,通过虚拟化工具创建所述虚拟化防护实例,依次将与业务对应连接的物理网络接口以硬件直通的方式划分至对应的所述虚拟化防护实例中;
在具体实施时,宿主机系统通过QEMU或其他虚拟化工具创建虚拟化防护实例,并将给定的物理网络接口以硬件直通的方式分配给虚拟化防护实例,应当理解的,宿主机即WEB应用防护装置,宿主机管理平台、宿主机系统均属于WEB应用防护装置中的一部分,且作为WEB应用防护装置中的基础设施运行,用户不可见。
S202,创建与所述虚拟化防护实例对应的虚拟网络接口;
在具体实施时,在具体实施时,宿主机系统为虚拟化防护实例额外添加一个虚拟网络接口,用于访问虚拟化防护实例的管理服务。
S203,为所述虚拟网络接口提供动态主机配置协议服务,并将所述虚拟网络接口映射到管理地址上;
在具体实施时,宿主机系统为虚拟化防护实例的虚拟网络接口提供DHCP(动态主机配置协议)服务,并将该虚拟网络接口映射到宿主机系统的管理地址上。
S204,为所述虚拟网络接口分配IP地址,并控制所述虚拟化防护实例将所述IP地址设置到所述自身管理接口上,以实现所述虚拟网络接口与所述自身管理接口对应连接;
在具体实施时,宿主机启动虚拟化防护实例,虚拟化防护实例在启动之后通过虚拟网络接口获取IP地址;
宿主机DHCP服务为虚拟网络接口分配IP地址,并将分配的IP地址上报给宿主机管理平台;
虚拟化防护实例将宿主机DHCP服务分配的IP地址设置到自身管理接口上,并将自己的管理平台服务所用端口上报给宿主机管理平台。
S205,通过所述管理地址上映射的所述虚拟网络接口访问对应的所述虚拟化防护实例的管理服务;
在具体实施时,宿主机管理平台为虚拟化防护实例的管理平台创建端口映射,映射端口可由宿主机管理员指定,也可由宿主机管理平台自动分配;
用户通过上述宿主机系统管理地址上映射的端口访问虚拟化防护实例的管理服务。
S206,通过所述管理服务设定所述虚拟化防护实例的部署模式;将与所述虚拟化防护实例对应的所述物理网络接口连接至网络环境中,以使所述虚拟化防护实例通过所述物理网络接口处理所述业务流量,进而提供所述安全防护服务。
在具体实施时,用户通过管理服务设定虚拟化防护实例的部署模式,并将虚拟化防护实例对应的物理网络接口连接到网络环境中;
虚拟化防护实例通过宿主机的物理网络接口处理业务流量,提供安全防护服务。
综上,本发明上述实施例当中的应用防护方法,利用直通技术将一台硬件设备的一个或多个物理网络接口及相关计算资源分配给若干虚拟化防护实例,显著降低虚拟化因素导致的网络性能开销;每个虚拟化防护实例对应创建一个虚拟网络接口,使得防护实例之间是相互独立的,可运行于不同的部署模式,具有独立的配置存储、数据存储及管理服务,且支持单独升级;本方法容易满足复杂业务环境中不同用户的特定需求,出现故障时影响面小,用户间的业务数据可实现安全隔离。
实施例三
本发明另一方面还提出一种应用防护系统,请参阅图3,所示为本发明第三实施例中的应用防护系统,包括:
第一创建模块11,用于创建若干虚拟化防护实例,并为所述虚拟化防护实例分配硬件资源;
进一步的,所述硬件资源至少CPU、内存、物理网络接口,所述第一创建模块11包括:
第一创建单元111,用于通过虚拟化工具创建所述虚拟化防护实例,依次将与业务对应连接的物理网络接口以硬件直通的方式划分至对应的所述虚拟化防护实例中。
第二创建模块12,用于创建与所述虚拟化防护实例对应的虚拟网络接口;
服务模块13,用于为所述虚拟网络接口提供动态主机配置协议服务,并将所述虚拟网络接口映射到管理地址上;
执行模块14,用于执行所述虚拟化防护实例,以使所述虚拟化防护实例将所述虚拟网络接口与所述虚拟化防护实例的自身管理接口对应连接;
进一步的,所述执行模块14包括:
分配单元141,用于为所述虚拟网络接口分配IP地址,并控制所述虚拟化防护实例将所述IP地址设置到所述自身管理接口上,以实现所述虚拟网络接口与所述自身管理接口对应连接。
控制模块15,用于通过在所述虚拟网络接口访问对应的所述虚拟化防护实例的管理服务,通过所述管理服务设定所述虚拟化防护实例的部署模式,以使所述虚拟化防护实例通过所述物理网络接口提供安全防护服务。
进一步的,所述控制模块15包括:
映射单元151,用于通过所述管理地址上映射的所述虚拟网络接口访问对应的所述虚拟化防护实例的管理服务;
控制单元152,用于通过所述管理服务设定所述虚拟化防护实例的部署模式;将与所述虚拟化防护实例对应的所述物理网络接口连接至网络环境中,以使所述虚拟化防护实例通过所述物理网络接口处理所述业务流量,进而提供所述安全防护服务。
综上,本发明上述实施例当中的应用防护系统,第一创建模块11利用直通技术将一台硬件设备的一个或多个物理网络接口及相关计算资源分配给若干虚拟化防护实例,显著降低虚拟化因素导致的网络性能开销;第二创建模块12为虚拟化防护实例创建对应的虚拟网络接口,使得防护实例之间是相互独立的,通过服务模块13及执行模块14使得虚拟网络接口与虚拟化防护实例的自身管理接口对应连接,通过控制模块15设置不同的部署模式,以使虚拟化防护实例能够运行于不同的部署模式,具有独立的配置存储、数据存储及管理服务,且支持单独升级;本系统容易满足复杂业务环境中不同用户的特定需求,出现故障时影响面小,用户间的业务数据可实现安全隔离。
实施例四
本发明还提出一种计算机设备,请参阅图4,所示为本发明第四实施例中的计算机设备,包括服务器,所述服务器包括存储器10、处理器20以及存储在所述存储器10上并可在所述处理器20上运行的计算机程序30,所述处理器20执行所述计算机程序30时实现上述的应用防护方法。
在具体实施时,处理器20创建若干虚拟化防护实例,并为所述虚拟化防护实例分配硬件资源,所述硬件资源至少CPU、内存、物理网络接口;
处理器20创建与所述虚拟化防护实例对应的虚拟网络接口;
处理器20执行所述虚拟化防护实例,以使所述虚拟化防护实例将所述虚拟网络接口与所述虚拟化防护实例的自身管理接口对应连接;
处理器20通过在所述虚拟网络接口访问对应的所述虚拟化防护实例的管理服务,通过所述管理服务设定所述虚拟化防护实例的部署模式,以使所述虚拟化防护实例通过所述物理网络接口提供安全防护服务。
其中,存储器10至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器10在一些实施例中可以是车辆的内部存储单元,例如该车辆的硬盘。存储器10在另一些实施例中也可以是外部存储装置,例如插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器10还可以既包括车辆的内部存储单元也包括外部存储装置。存储器10不仅可以用于存储安装于车辆的应用软件及各类数据,还可以用于暂时地存储已经输出或者将要输出的数据。
其中,处理器20在一些实施例中可以是电子控制单元(Electronic ControlUnit,简称ECU,又称行车电脑)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器10中存储的程序代码或处理数据,例如执行访问限制程序等。
需要指出的是,图4示出的结构并不构成对计算机设备的限定,在其它实施例当中,该计算机设备可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
本发明当中的计算机设备,利用直通技术将一台硬件设备的一个或多个物理网络接口及相关计算资源分配给若干虚拟化防护实例,显著降低虚拟化因素导致的网络性能开销;每个虚拟化防护实例对应创建一个虚拟网络接口,使得防护实例之间是相互独立的,可运行于不同的部署模式,具有独立的配置存储、数据存储及管理服务,且支持单独升级。
本发明实施例还提出一种可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述的应用防护方法。
本领域技术人员可以理解,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印该程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得该程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或它们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种应用防护方法,其特征在于,所述方法包括:
创建若干虚拟化防护实例,并为所述虚拟化防护实例分配硬件资源;
创建与所述虚拟化防护实例对应的虚拟网络接口;
执行所述虚拟化防护实例,以使所述虚拟化防护实例将所述虚拟网络接口与所述虚拟化防护实例的自身管理接口对应连接;
通过在所述虚拟网络接口访问对应的所述虚拟化防护实例的管理服务,通过所述管理服务设定所述虚拟化防护实例的部署模式,以使所述虚拟化防护实例通过物理网络接口提供安全防护服务。
2.根据权利要求1所述的应用防护方法,其特征在于,所述硬件资源至少包括CPU、内存、物理网络接口,所述创建若干虚拟化防护实例,并为所述虚拟化防护实例分配硬件资源的步骤包括:
通过虚拟化工具创建所述虚拟化防护实例,依次将与业务对应连接的物理网络接口以硬件直通的方式划分至对应的所述虚拟化防护实例中。
3.根据权利要求1所述的应用防护方法,其特征在于,所述创建与所述虚拟化防护实例对应的虚拟网络接口的步骤之后,所述方法还包括:
为所述虚拟网络接口提供动态主机配置协议服务,并将所述虚拟网络接口映射到管理地址上。
4.根据权利要求1所述的应用防护方法,其特征在于,所述执行所述虚拟化防护实例,以使所述虚拟化防护实例将所述虚拟网络接口与所述虚拟化防护实例的自身管理接口对应连接的步骤具体包括:
为所述虚拟网络接口分配IP地址,并控制所述虚拟化防护实例将所述IP地址设置到所述自身管理接口上,以实现所述虚拟网络接口与所述自身管理接口对应连接。
5.根据权利要求3所述的应用防护方法,其特征在于,所述通过在所述虚拟网络接口访问对应的所述虚拟化防护实例的管理服务,通过所述管理服务设定所述虚拟化防护实例的部署模式,以使所述虚拟化防护实例通过所述物理网络接口提供安全防护服务的步骤具体包括:
通过所述管理地址上映射的所述虚拟网络接口访问对应的所述虚拟化防护实例的管理服务;
通过所述管理服务设定所述虚拟化防护实例的部署模式;将与所述虚拟化防护实例对应的所述物理网络接口连接至网络环境中,以使所述虚拟化防护实例通过所述物理网络接口处理业务流量,进而提供所述安全防护服务。
6.一种应用防护系统,其特征在于,所述系统包括:
第一创建模块,用于创建若干虚拟化防护实例,并为所述虚拟化防护实例分配硬件资源;
第二创建模块,用于创建与所述虚拟化防护实例对应的虚拟网络接口;
执行模块,用于执行所述虚拟化防护实例,以使所述虚拟化防护实例将所述虚拟网络接口与所述虚拟化防护实例的自身管理接口对应连接;
控制模块,用于通过在所述虚拟网络接口访问对应的所述虚拟化防护实例的管理服务,通过所述管理服务设定所述虚拟化防护实例的部署模式,以使所述虚拟化防护实例通过物理网络接口提供安全防护服务。
7.根据权利要求6所述的应用防护系统,其特征在于,所述硬件资源至少包括CPU、内存、物理网络接口,所述第一创建模块包括:
第一创建单元,用于通过虚拟化工具创建所述虚拟化防护实例,依次将与业务对应连接的物理网络接口以硬件直通的方式划分至对应的所述虚拟化防护实例中。
8.根据权利要求6所述的应用防护系统,其特征在于,所述执行模块包括:
分配单元,用于为所述虚拟网络接口分配IP地址,并控制所述虚拟化防护实例将所述IP地址设置到所述自身管理接口上,以实现所述虚拟网络接口与所述自身管理接口对应连接。
9.一种可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至5中任一项所述的应用防护方法。
10.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5中任一项所述的应用防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110917451.1A CN113660243A (zh) | 2021-08-11 | 2021-08-11 | 应用防护方法、系统、可读存储介质及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110917451.1A CN113660243A (zh) | 2021-08-11 | 2021-08-11 | 应用防护方法、系统、可读存储介质及计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113660243A true CN113660243A (zh) | 2021-11-16 |
Family
ID=78479453
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110917451.1A Withdrawn CN113660243A (zh) | 2021-08-11 | 2021-08-11 | 应用防护方法、系统、可读存储介质及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113660243A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117294533A (zh) * | 2023-11-24 | 2023-12-26 | 华信咨询设计研究院有限公司 | 一种基于云化环境的网络流量采集方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160034294A1 (en) * | 2014-07-29 | 2016-02-04 | International Business Machines Corporation | Dynamically deployed virtual machine |
| CN107870804A (zh) * | 2017-11-03 | 2018-04-03 | 郑州云海信息技术有限公司 | 一种基于ssr的docker容器安全防护方法 |
| CN110704155A (zh) * | 2018-07-09 | 2020-01-17 | 阿里巴巴集团控股有限公司 | 容器网络构建方法及装置、物理主机、数据传输方法 |
| US10645020B1 (en) * | 2017-01-30 | 2020-05-05 | Amazon Technologies, Inc. | Virtual networking for compute instances |
| CN111131168A (zh) * | 2019-11-30 | 2020-05-08 | 中国电信股份有限公司云南分公司 | 基于Web应用的自适应防护方法 |
-
2021
- 2021-08-11 CN CN202110917451.1A patent/CN113660243A/zh not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160034294A1 (en) * | 2014-07-29 | 2016-02-04 | International Business Machines Corporation | Dynamically deployed virtual machine |
| US10645020B1 (en) * | 2017-01-30 | 2020-05-05 | Amazon Technologies, Inc. | Virtual networking for compute instances |
| CN107870804A (zh) * | 2017-11-03 | 2018-04-03 | 郑州云海信息技术有限公司 | 一种基于ssr的docker容器安全防护方法 |
| CN110704155A (zh) * | 2018-07-09 | 2020-01-17 | 阿里巴巴集团控股有限公司 | 容器网络构建方法及装置、物理主机、数据传输方法 |
| CN111131168A (zh) * | 2019-11-30 | 2020-05-08 | 中国电信股份有限公司云南分公司 | 基于Web应用的自适应防护方法 |
Non-Patent Citations (3)
| Title |
|---|
| 元帅SY: "网络安全:您了解防火墙的部署模式吗?防火墙透明模式部署介绍", 《HTTPS://WWW.BILIBILI.COM/READ/CV3157424/》 * |
| 呆头姐姐: "虚拟防火墙与传统虚拟防火墙,有什么不同", 《知乎 HTTPS://ZHUANLAN.ZHIHU.COM/P/56150206》 * |
| 曹世宏: "防火墙虚拟系统", 《CSDN HTTPS://BLOG.CSDN.NET/QQ_38265137/ARTICLE/DETAILS/88983393》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117294533A (zh) * | 2023-11-24 | 2023-12-26 | 华信咨询设计研究院有限公司 | 一种基于云化环境的网络流量采集方法及系统 |
| CN117294533B (zh) * | 2023-11-24 | 2024-04-02 | 华信咨询设计研究院有限公司 | 一种基于云化环境的网络流量采集方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10834047B2 (en) | Address management in an overlay network environment | |
| US20180330081A1 (en) | Execution environment virtualization method and apparatus and virtual execution environment access method and apparatus | |
| US9239728B2 (en) | Method, system, and device for securely handling virtual function driver communications with a physical function driver | |
| KR101535502B1 (ko) | 보안 내재형 가상 네트워크 제어 시스템 및 방법 | |
| US10255088B2 (en) | Modification of write-protected memory using code patching | |
| US8959310B2 (en) | Dynamic network adapter memory resizing and bounding for virtual function translation entry storage | |
| CN101257413B (zh) | 用于能够实现安全的位置感知平台的方法、装置和系统 | |
| CN109379347B (zh) | 一种安全防护方法及设备 | |
| US10083129B2 (en) | Code loading hardening by hypervisor page table switching | |
| US20230262111A1 (en) | Peripheral device enabling virtualized computing service extensions | |
| JP2016511903A (ja) | 仮想マシンの完全性保護のためのメモリイントロスペクションエンジン | |
| EP3973426B1 (en) | Limited execution environment for monolithic kernel | |
| JP2022522339A (ja) | ページのインポート/エクスポートのためのプログラム割り込み | |
| KR102681250B1 (ko) | 보안 스토리지 격리 | |
| EP4035003A1 (en) | Peripheral device for configuring compute instances at client- selected servers | |
| CN114448978B (zh) | 一种网络接入方法、装置、电子设备及存储介质 | |
| JP2022523522A (ja) | セキュア・インターフェイス制御の高レベルのページ管理 | |
| CN107239700A (zh) | 一种基于xen虚拟化平台的安全防护方法 | |
| CN113660243A (zh) | 应用防护方法、系统、可读存储介质及计算机设备 | |
| Valdez et al. | Retrofitting the ibm power hypervisor to support mandatory access control | |
| US20170249173A1 (en) | Guest protection from application code execution in kernel mode | |
| CN113660248B (zh) | 业务流量隔离方法、系统、可读存储介质及装置 | |
| US20230267196A1 (en) | Confidential Computing with Device Memory Isolation | |
| US11803304B2 (en) | Efficient bit compression for direct mapping of physical memory addresses | |
| WO2019148447A1 (zh) | 数据保护方法和数据保护装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20211116 |
|
| WW01 | Invention patent application withdrawn after publication |