CN113992412A - 一种云原生防火墙的实现方法及相关设备 - Google Patents
一种云原生防火墙的实现方法及相关设备 Download PDFInfo
- Publication number
- CN113992412A CN113992412A CN202111262463.1A CN202111262463A CN113992412A CN 113992412 A CN113992412 A CN 113992412A CN 202111262463 A CN202111262463 A CN 202111262463A CN 113992412 A CN113992412 A CN 113992412A
- Authority
- CN
- China
- Prior art keywords
- application
- target application
- target
- message
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种云原生防火墙的实现方法及相关设备,所述方法应用于资源服务器,包括:根据所承载的资源服务的资源ID,从中控服务器拉取防护策略及相应的应用IP集合,并据此生成网络层的防火策略;当接收到由中控服务器发送的目标应用待启动的第一消息,获取目标应用的目标应用IP,并据此更新网络层的防火策略,当完成更新后将更新完毕的第二消息发送至中控服务器,以通知目标应用的启动。本申请在应用启动前,将待启动的应用的应用ID及应用IP通知相应的资源服务器,以便进行网络层中相应的防火策略的更新,在更新完毕后,再通知应用的启动,使得资源服务器的防火策略中始终包含应用的有效IP,很好地保证了资源服务器的网络安全。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,是涉及一种云原生防火墙的实现方法及相关设备。
背景技术
随着信息技术的发展,企业对于网络安全的重视程度提高了,纷纷采购防火墙等设备希望堵住来自互联网Internet的不安全因素。然而,企业内部网Intranet的攻击和入侵却依然猖狂。事实证明,公司内部的不安全因素远比外部的危害更恐怖。
例如,企业中经常会有人私自以手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁。从某种意义来讲,企业耗费巨资配备的防火墙已失去意义。这种接入方式的存在,极有可能使得黑客绕过对外的防火墙而在企业毫不知情的情况下侵入内部网络,从而造成敏感数据泄密、传播病毒等严重后果。因此,针对存储有敏感资源的资源服务器,有必要在内部建立防火墙,以阻断非法访问。
防火墙一般分为网络层和应用层防火墙,其中网络层防火墙可根据来源和目的IP地址与端口进行防护策略定义,比如通过来源黑名单和白名单策略限制对某个目的(IP,端口)的访问等。将这种策略制定方式应用部署在传统数据中心的固定IP物理机的时候是有效的。然而,对于云原生环境下应用IP不断变化的情况下,但这种传统的方式并不适用。
发明内容
有鉴于此,本申请提供了一种云原生防火墙的实现方法及相关设备,以在企业内部实现云原生环境下对资源服务器的防护。
为实现上述目的,本申请第一方面提供了云原生防火墙的第一实现方法,所述方法应用于资源服务器,所述方法包括:
根据所承载的资源服务的资源ID,从中控服务器拉取防护策略,所述防护策略包括禁止接入和/或允许接入的应用的应用ID;
从中控服务器拉取对应于所述应用ID的应用IP,得到应用IP集合;
根据所述防护策略和应用IP集合,生成网络层的防火策略;
当接收到由中控服务器发送的目标应用待启动的第一消息,从所述第一消息获取目标应用的目标应用IP,根据所述目标应用IP更新网络层的防火策略,当完成更新后将更新完毕的第二消息发送至中控服务器,所述第二消息用于通知目标应用的启动。
优选地,所述云原生防火墙的第一实现方法还包括:
当接收到由中控服务器发送的目标应用下线的第三消息,根据所述第三消息获取目标应用的目标应用IP,并从网络层的防火策略中删除对应于所述目标应用IP的内容。
优选地,所述防火策略包括iptables的规则和/或ebpf程序的拦截规则。
本申请第二方面提供了一种云原生防火墙的第一实现装置,包括:
策略获取单元,用于根据所承载的资源服务的资源ID,从中控服务器拉取防护策略,所述防护策略包括禁止接入和/或允许接入的应用的应用ID;
IP获取单元,用于从中控服务器拉取对应于所述应用ID的应用IP,得到应用IP集合;
策略设置单元,用于根据所述防护策略和应用IP集合,生成网络层的防火策略;
策略更新单元,用于当接收到由中控服务器发送的目标应用待启动的第一消息,从所述第一消息获取目标应用的目标应用IP,根据所述目标应用IP更新网络层的防火策略,当完成更新后将更新完毕的第二消息发送至中控服务器,所述第二消息用于通知目标应用的启动。
本申请第三方面提供了一种云原生防火墙的第二实现方法,所述方法应用于中控服务器,所述中控服务器存储有各资源服务器的防护策略,所述防护策略包括禁止接入和/或允许接入资源服务器的应用的应用ID,所述方法包括:
获取待启动的目标应用的目标应用ID和目标应用IP;
根据目标应用ID,从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器;
发送目标应用待启动的第一消息至目标资源服务器,所述第一消息包括目标应用的目标应用IP,用于通知目标资源服务器对防火策略进行更新;
当接收到所有目标资源服务器的防火策略更新完毕的第二消息后,控制启动所述目标应用。
优选地,获取待启动的目标应用的目标应用ID和目标应用IP的过程,包括:
当接收到由调度平台发送的目标应用待启动的第四消息,根据所述第四消息获取待启动的目标应用的目标应用ID和目标应用IP。
优选地,控制启动所述目标应用的过程,包括:
发送响应消息至调度平台,所述响应消息用于通知调度平台启动目标应用。
优选地,所述云原生防火墙的第二实现方法还包括:
当接收到由调度平台发送的目标应用下线的第五消息:
根据目标应用的目标应用ID,从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器;
将目标应用下线的第三消息发送给目标资源服务器,所述第三消息包括目标应用的目标应用IP,用于通知目标资源服务器从网络层的防火策略中删除对应于所述目标应用IP的内容。
本申请第四方面提供了一种云原生防火墙的第二实现装置,其特征在于,包括:
信息接收单元,用于获取待启动的目标应用的目标应用ID和目标应用IP;
信息获取单元,用于根据目标应用ID,从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器;
通知发送单元,用于发送目标应用待启动的第一消息至目标资源服务器,所述第一消息包括目标应用的目标应用IP,用于通知目标资源服务器对防火策略进行更新;
控制启动单元,用于当接收到所有目标资源服务器的防火策略更新完毕的第二消息后,控制启动所述目标应用。
本申请第五方面提供了一种云原生防火墙的实现系统,包括:
资源服务器、中控服务器、调度平台;
所述中控服务器分别与所述资源服务器、所述调度平台通信连接;
所述资源服务器实现如上述的云原生防火墙的第一实现方法的各个步骤;
所述中控服务器实现如上述的云原生防火墙的第二实现方法的各个步骤;
所述调度平台存储有各应用的IP,用于对应用的上下线进行管理。
经由上述的技术方案可知,本申请首先根据所承载的资源服务的资源ID,从中控服务器拉取防护策略,所述防护策略包括禁止接入和/或允许接入的应用的应用ID。然后根据所述应用ID,从中控服务器拉取应用的应用IP集合。所述IP集合包含了对应于各应用ID的应用的有效IP。当获取了防护策略和应用IP集合后,根据所述防护策略和应用IP集合,生成网络层的防火策略,所述防火策略用于对资源服务器进行网络防护。当有新的应用需要启动时,会接收到由中控服务器发出的所述待启动的目标应用的目标应用ID及目标应用IP。当接收到由中控服务器发送的待启动的目标应用的目标应用ID及目标应用IP,根据所述目标应用ID及目标应用IP对网络层的防火策略进行更新,将待启动的目标应用的访问控制策略添加到网络层的防火策略中。当完成更新后将更新结果发送至中控服务器,中控服务器根据所述更新结果进一步通知目标应用的启动程序,以完成应用的启动。本申请在应用启动前,将所述待启动的应用的应用ID及应用IP通知相应的资源服务器,以便进行网络层中相应的防火策略的更新,当防火策略更新完毕后,再通知应用的启动,使得资源服务器的防火策略中始终包含应用的有效IP,很好地保证了资源服务器的网络安全。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1示例了本申请实施例公开的云原生防火墙的实现方法的运行环境;
图2示例了本申请实施例公开的云原生防火墙的实现方法的信令图;
图3为本申请实施例公开的云原生防火墙的第一实现方法的示意图;
图4为本申请实施例公开的云原生防火墙的第一实现方法的另一示意图;
图5为本申请实施例公开的云原生防火墙的第一实现装置的示意图;
图6为本申请实施例公开的云原生防火墙的第一实现装置的另一示意图;
图7为本申请实施例公开的云原生防火墙的实现设备的示意图;
图8为本申请实施例公开的云原生防火墙的第二实现方法的示意图;
图9为本申请实施例公开的云原生防火墙的第二实现方法的另一示意图;
图10为本申请实施例公开的云原生防火墙的第二实现装置的示意图;
图11为本申请实施例公开的云原生防火墙的第二实现装置的另一示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在介绍本申请提供的云原生防火墙的实现方法之前,首先介绍一下该方法的运行环境,即云原生应用部署环境。请参阅图1,本申请所涉及的云原生应用部署环境包括资源服务器、防火墙的中控服务器、云原生容器的调度平台和云原生宿主机。
其中,资源服务器是承载文档、图片、音频、视频、应用数据和消息等资源的服务器,例如文件服务器,数据库服务器、消息队列服务器等等。具备接入权限的应用可以对其进行访问。具体地,资源服务器通过代理软件来设置防火策略,以允许或拦截应用的访问。
云原生宿主机上设置有容器,应用运行于容器中。
云原生容器的调度平台与云原生宿主机通信连接,云原生容器的调度平台负责对云原生宿主机上的应用上线、应用下线进行管理。
防火墙的中控服务器分别与资源服务器、云原生容器的调度平台通信连接,防火墙的中控服务器存储有资源服务器的资源信息以及云原生宿主机的应用信息,用于协调应用上线、应用下线与资源服务器中的防火策略的设置。
具体地,防火墙的中控服务器的防护策略可以由管理员进行设置,或者由中控服务器自身根据业务访问资源服务的拓扑自动生成相应的防护策略,从而授权或者封禁指定应用ID的应用,对指定IP(IP及端口)的资源服务器(由资源ID进行标识)的访问。业务访问资源服务的拓扑是指组织内部定义的应用访问资源服务的授权关系,比如人事数据库只允许人事应用访问,或者订单数据库只允许购物车和下单应用来访问。
下面介绍本申请实施例提供的云原生防火墙的实现方法。本申请分别从资源服务器端和防火墙的中控服务器端提供了配套使用的云原生防火墙的实现方法,为描述方便,下文中将应用于资源服务器端的云原生防火墙的实现方法,称为,云原生防火墙的第一实现方法;将应用于防火墙的中控服务器端的云原生防火墙的实现方法,称为云原生防火墙的第二实现方法。
请同时参阅图2和图3,本申请实施例提供的云原生防火墙的第一实现方法应用于资源服务器,该方法可以包括如下步骤:
步骤S101,根据所承载的资源服务的资源ID,从中控服务器拉取防护策略。
其中,该防护策略包括禁止接入和允许接入的应用中的至少一种应用的应用ID。
步骤S102,从中控服务器拉取对应于该应用ID的应用IP,得到应用IP集合。
其中,应用部署于容器中,每一个应用都对应有一个IP,该应用IP即应用所在的容器的IP,该IP在容器启动时分配,在容器被销毁时被回收。
步骤S103,根据所述防护策略和应用IP集合,生成网络层的防火策略。
其中,该网络层的防火策略用于部署网络层的防火墙,通过网络层防火墙的设置,允许特定IP的访问,同时禁止特定IP的访问。
步骤S104,对防火策略进行更新,并将更新结果发送至中控服务器。
具体地,当接收到由中控服务器发送的目标应用待启动的第一消息,从该第一消息获取目标应用的目标应用IP,根据该目标应用IP更新网络层的防火策略。
当完成更新后将更新完毕的第二消息发送至中控服务器,该第二消息用于通知目标应用的启动。
可以理解的是,上述步骤S101至步骤S103可以在资源服务器启动时执行,以获取中控服务器当前存储的所有的防护策略;上述步骤S104为接收到第一消息后启动的,用于更新资源服务器网络层的防火策略。
本申请首先根据所承载的资源服务的资源ID,从中控服务器拉取防护策略,所述防护策略包括禁止接入和/或允许接入的应用的应用ID。然后根据所述应用ID,从中控服务器拉取应用的应用IP集合。所述IP集合包含了对应于各应用ID的应用的有效IP。当获取了防护策略和应用IP集合后,根据所述防护策略和应用IP集合,生成网络层的防火策略,所述防火策略用于对资源服务器进行网络防护。当有新的应用需要启动时,会接收到由中控服务器发出的所述待启动的目标应用的目标应用ID及目标应用IP。当接收到由中控服务器发送的待启动的目标应用的目标应用ID及目标应用IP,根据所述目标应用ID及目标应用IP对网络层的防火策略进行更新,将待启动的目标应用的访问控制策略添加到网络层的防火策略中。当完成更新后将更新结果发送至中控服务器,中控服务器根据所述更新结果进一步通知目标应用的启动程序,以完成应用的启动。本申请在应用启动前,将所述待启动的应用的应用ID及应用IP通知相应的资源服务器,以便进行网络层中相应的防火策略的更新,当防火策略更新完毕后,再通知应用的启动,使得资源服务器的防火策略中始终包含应用的有效IP,很好地保证了资源服务器的网络安全。
在本申请的一些实施例中,请参阅图4,本申请提供的云原生防火墙的第一实现方法,还可以包括:
步骤S105,删除下线应用的防火策略。
具体地,当接收到由中控服务器发送的目标应用下线的第三消息,根据该第三消息获取目标应用的目标应用IP,并从网络层的防火策略中删除对应于该目标应用IP的内容。
可以理解的是,当应用下线后,该应用的IP可能会被回收,并被分配到新的应用中。而资源服务器对于这个新的应用的访问策略有可能与之前的不一样。
例如,资源服务器S允许应用A的访问,因此,应用A的IP被写进资源服务器防火墙的允许列表中。应用A下线后,该IP被分配至应用B,而该应用B没有访问资源服务器S的权限。此时,若资源服务器S的防火策略没有更新,则出现一个漏洞,使得应用B在没有权限的情况下,访问资源服务器S。
通过删除下线应用的防火策略,则可以避免上述防范漏洞。
在本申请的一些实施例中,上述步骤S103所提及的防火策略包括iptables的规则和ebpf程序的拦截规则中的至少一种。
其中,netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙完成封包过滤、封包重定向和网络地址转换(NAT)等功能。
具体地,iptables按照预设的规则来工作,该规则其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。
eBPF是一个在内核中运行的虚拟机,其通过BPF系统调用来跟内核进行交互,验证代码的安全性,从而通过JIT实时的转化成Native的X86的指令。
具体地,eBPF程序eBPF特别适合于编写网络程序,并且可以编写附加到网络套接字上的程序以过滤流量,对流量进行分类并运行网络分类器操作。甚至可以使用eBPF程序修改已建立的网络套接字的设置。通过使用eBPF通过在网络堆栈的最低级别运行eBPF程序,在接收到数据包后,可以立即做高性能的数据包处理,如丢弃或接受来自某个IP的数据包。
下面对本申请实施例提供的云原生防火墙的第一实现装置进行描述,下文描述的云原生防火墙的第一实现装置与上文描述的云原生防火墙的第一实现方法可相互对应参照。
请参见图5,本申请实施例提供的云原生防火墙的第一实现装置,可以包括:
策略获取单元11,用于根据所承载的资源服务的资源ID,从中控服务器拉取防护策略,所述防护策略包括禁止接入和/或允许接入的应用的应用ID;
IP获取单元12,用于从中控服务器拉取对应于所述应用ID的应用IP,得到应用IP集合;
策略设置单元13,用于根据所述防护策略和应用IP集合,生成网络层的防火策略;
策略更新单元14,用于当接收到由中控服务器发送的目标应用待启动的第一消息,从所述第一消息获取目标应用的目标应用IP,根据所述目标应用IP更新网络层的防火策略,当完成更新后将更新完毕的第二消息发送至中控服务器,所述第二消息用于通知目标应用的启动。
在本申请的一些实施例中,请参阅图6,上述云原生防火墙的第一实现装置,还可以包括:
下线处理单元15,用于当接收到由中控服务器发送的目标应用下线的第三消息,根据所述第三消息获取目标应用的目标应用IP,并从网络层的防火策略中删除对应于所述目标应用IP的内容。
在本申请的一些实施例中,上述策略设置单元13所提及的防火策略,可以包括iptables的规则和ebpf程序的拦截规则中的至少一种。
本申请实施例提供的云原生防火墙的第一实现装置可应用于云原生防火墙的实现设备,如网站服务器等。可选的,图7示出了云原生防火墙的实现设备的硬件结构框图,参照图7,云原生防火墙的实现设备的硬件结构可以包括:至少一个处理器31,至少一个通信接口32,至少一个存储器33和至少一个通信总线34。
在本申请实施例中,处理器31、通信接口32、存储器33、通信总线34的数量为至少一个,且处理器31、通信接口32、存储器33通过通信总线34完成相互间的通信;
处理器31可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本申请实施例的一个或多个集成电路等;
存储器32可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory)等,例如至少一个磁盘存储器;
其中,存储器33存储有程序,处理器31可调用存储器33存储的程序,所述程序用于:
根据所承载的资源服务的资源ID,从中控服务器拉取防护策略,所述防护策略包括禁止接入和/或允许接入的应用的应用ID;
从中控服务器拉取对应于所述应用ID的应用IP,得到应用IP集合;
根据所述防护策略和应用IP集合,生成网络层的防火策略;
当接收到由中控服务器发送的目标应用待启动的第一消息,从所述第一消息获取目标应用的目标应用IP,根据所述目标应用IP更新网络层的防火策略,当完成更新后将更新完毕的第二消息发送至中控服务器,所述第二消息用于通知目标应用的启动。
可选的,所述程序的细化功能和扩展功能可参照上文描述。
本申请实施例还提供一种存储介质,该存储介质可存储有适于处理器执行的程序,所述程序用于:
根据所承载的资源服务的资源ID,从中控服务器拉取防护策略,所述防护策略包括禁止接入和/或允许接入的应用的应用ID;
从中控服务器拉取对应于所述应用ID的应用IP,得到应用IP集合;
根据所述防护策略和应用IP集合,生成网络层的防火策略;
当接收到由中控服务器发送的目标应用待启动的第一消息,从所述第一消息获取目标应用的目标应用IP,根据所述目标应用IP更新网络层的防火策略,当完成更新后将更新完毕的第二消息发送至中控服务器,所述第二消息用于通知目标应用的启动。
可选的,所述程序的细化功能和扩展功能可参照上文描述。
以下对本申请提供的云原生防火墙的第二实现方法进行介绍。请同时参阅图2和图8,本申请实施例提供的云原生防火墙的第二实现方法应用于防火墙的中控服务器,该中控服务器存储有各资源服务器的防护策略,该防护策略包括禁止接入和允许接入资源服务器的应用的应用ID。该方法可以包括如下步骤:
步骤S201,获取待启动的目标应用的目标应用ID和目标应用IP。
步骤S202,根据目标应用ID,从各资源服务器的防护策略中获取目标应用能够接入和禁止接入的目标资源服务器。
步骤S203,通知目标资源服务器对防火策略进行更新。
具体地,发送目标应用待启动的第一消息至目标资源服务器,该第一消息包括目标应用的目标应用IP,用于通知目标资源服务器对防火策略进行更新。
步骤S204,控制启动该目标应用。
具体地,当接收到所有目标资源服务器的防火策略更新完毕的第二消息后,控制启动该目标应用。
由于中控服务器所存储资的防护策略包括各资源服务器所允许接入的和禁止接入的应用的信息,其中,该信息进一步包括应用ID,通过获取待启动的目标应用的目标应用ID,可以获知该应用允许接入、禁止接入哪些资源服务器;通过获取待启动的目标应用的目标应用IP,可以通知相应的资源服务器进行网络层防火策略的更新。
本实施例在目标应用启动前,通知各相关的资源服务器进行网络层防火策略的更新;在确认所有相关的资源服务器的防火策略都更新完毕,再控制器的该目标应用,很好地保障的资源服务器的安全。
在本申请的一些实施例中,上述步骤S201获取待启动的目标应用的目标应用ID和目标应用IP的过程,可以包括:
当接收到由调度平台发送的目标应用待启动的第四消息,根据该第四消息获取待启动的目标应用的目标应用ID和目标应用IP。
在本申请的一些实施例中,上述步骤S204控制启动该目标应用的过程,可以包括:
发送响应消息至调度平台,该响应消息用于通知调度平台启动目标应用。
在本申请的一些实施例中,请参阅图9,上述云原生防火墙的第二实现方法,还可以包括:
步骤S205,对应用下线进行处理。
具体地,当接收到由调度平台发送的目标应用下线的第五消息:
根据目标应用的目标应用ID,从各资源服务器的防护策略中获取目标应用能够接入和禁止接入的目标资源服务器;
将目标应用下线的第三消息发送给目标资源服务器。
其中,该第三消息包括目标应用的目标应用IP,用于通知目标资源服务器从网络层的防火策略中删除对应于该目标应用IP的内容。
下面对本申请实施例提供的云原生防火墙的第二实现装置进行描述,下文描述的云原生防火墙的第二实现装置与上文描述的云原生防火墙的第二实现方法可相互对应参照。
请参见图10,本申请实施例提供的云原生防火墙的第二实现装置,可以包括:
信息接收单元21,用于获取待启动的目标应用的目标应用ID和目标应用IP;
信息获取单元22,用于根据目标应用ID,从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器;
通知发送单元23,用于发送目标应用待启动的第一消息至目标资源服务器,所述第一消息包括目标应用的目标应用IP,用于通知目标资源服务器对防火策略进行更新;
控制启动单元24,用于当接收到所有目标资源服务器的防火策略更新完毕的第二消息后,控制启动所述目标应用。
在本申请的一些实施例中,上述信息接收单元21获取待启动的目标应用的目标应用ID和目标应用IP的过程,可以包括:
当接收到由调度平台发送的目标应用待启动的第四消息,根据所述第四消息获取待启动的目标应用的目标应用ID和目标应用IP。
在本申请的一些实施例中,上述控制启动单元24控制启动所述目标应用的过程,可以包括:
发送响应消息至调度平台,所述响应消息用于通知调度平台启动目标应用。
在本申请的一些实施例中,请参阅图11,本申请实施例提供的云原生防火墙的第二实现装置,还可以包括:
下线管理单元25,用于当接收到由调度平台发送的目标应用下线的第五消息:
根据目标应用的目标应用ID,从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器;
将目标应用下线的第三消息发送给目标资源服务器,所述第三消息包括目标应用的目标应用IP,用于通知目标资源服务器从网络层的防火策略中删除对应于所述目标应用IP的内容。
本申请实施例提供的云原生防火墙的第二实现装置可应用于云原生防火墙的实现设备,如网站服务器等。可选的,图7示出了云原生防火墙的实现设备的硬件结构框图,参照图7,云原生防火墙的第二实现的硬件结构可以包括:至少一个处理器31,至少一个通信接口32,至少一个存储器33和至少一个通信总线34。
在本申请实施例中,处理器31、通信接口32、存储器33、通信总线34的数量为至少一个,且处理器31、通信接口32、存储器33通过通信总线34完成相互间的通信;
处理器31可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本申请实施例的一个或多个集成电路等;
存储器32可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory)等,例如至少一个磁盘存储器;
其中,存储器33存储有程序,处理器31可调用存储器33存储的程序,所述程序用于:
获取待启动的目标应用的目标应用ID和目标应用IP;
根据目标应用ID,从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器;
发送目标应用待启动的第一消息至目标资源服务器,所述第一消息包括目标应用的目标应用IP,用于通知目标资源服务器对防火策略进行更新;
当接收到所有目标资源服务器的防火策略更新完毕的第二消息后,控制启动所述目标应用。
可选的,所述程序的细化功能和扩展功能可参照上文描述。
本申请实施例还提供一种存储介质,该存储介质可存储有适于处理器执行的程序,所述程序用于:
获取待启动的目标应用的目标应用ID和目标应用IP;
根据目标应用ID,从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器;
发送目标应用待启动的第一消息至目标资源服务器,所述第一消息包括目标应用的目标应用IP,用于通知目标资源服务器对防火策略进行更新;
当接收到所有目标资源服务器的防火策略更新完毕的第二消息后,控制启动所述目标应用。
可选的,所述程序的细化功能和扩展功能可参照上文描述。
下面介绍本申请实施例提供的云原生防火墙的实现系统。请同时参见图2和图11,本申请实施例提供的云原生防火墙的实现系统,可以包括资源服务器10、中控服务器20和调度平台30。
其中,中控服务器20分别与资源服务器10、调度平台30通信连接。
所述资源服务器代理运行于资源服务器中,实现如上述的云原生防火墙的第一实现方法的各个步骤;
所述中控服务器实现如上述的云原生防火墙的第二实现方法的各个步骤;
所述调度平台存储有各应用的IP,用于对应用的上下线进行管理。
综上所述:
经由上述的技术方案可知,本申请首先根据所承载的资源服务的资源ID,从中控服务器拉取防护策略,所述防护策略包括禁止接入和/或允许接入的应用的应用ID。然后根据所述应用ID,从中控服务器拉取应用的应用IP集合。所述IP集合包含了对应于各应用ID的应用的有效IP。当获取了防护策略和应用IP集合后,根据所述防护策略和应用IP集合,生成网络层的防火策略,所述防火策略用于对资源服务器进行网络防护。当有新的应用需要启动时,会接收到由中控服务器发出的所述待启动的目标应用的目标应用ID及目标应用IP。当接收到由中控服务器发送的待启动的目标应用的目标应用ID及目标应用IP,根据所述目标应用ID及目标应用IP对网络层的防火策略进行更新,将待启动的目标应用的访问控制策略添加到网络层的防火策略中。当完成更新后将更新结果发送至中控服务器,中控服务器根据所述更新结果进一步通知目标应用的启动程序,以完成应用的启动。本申请在应用启动前,将所述待启动的应用的应用ID及应用IP通知相应的资源服务器,以便进行网络层中相应的防火策略的更新,当防火策略更新完毕后,再通知应用的启动,使得资源服务器的防火策略中始终包含应用的有效IP,很好地保证了资源服务器的网络安全。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间可以根据需要进行组合,且相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种云原生防火墙的实现方法,所述方法应用于资源服务器,其特征在于,包括:
根据所承载的资源服务的资源ID,从中控服务器拉取防护策略,所述防护策略包括禁止接入和/或允许接入的应用的应用ID;
从中控服务器拉取对应于所述应用ID的应用IP,得到应用IP集合;
根据所述防护策略和应用IP集合,生成网络层的防火策略;
当接收到由中控服务器发送的目标应用待启动的第一消息,从所述第一消息获取目标应用的目标应用IP,根据所述目标应用IP更新网络层的防火策略,当完成更新后将更新完毕的第二消息发送至中控服务器,所述第二消息用于通知目标应用的启动。
2.根据权利要求1所述的方法,其特征在于,还包括:
当接收到由中控服务器发送的目标应用下线的第三消息,根据所述第三消息获取目标应用的目标应用IP,并从网络层的防火策略中删除对应于所述目标应用IP的内容。
3.根据权利要求1所述的方法,其特征在于,所述防火策略包括iptables的规则和/或ebpf程序的拦截规则。
4.一种云原生防火墙的实现装置,其特征在于,包括:
策略获取单元,用于根据所承载的资源服务的资源ID,从中控服务器拉取防护策略,所述防护策略包括禁止接入和/或允许接入的应用的应用ID;
IP获取单元,用于从中控服务器拉取对应于所述应用ID的应用IP,得到应用IP集合;
策略设置单元,用于根据所述防护策略和应用IP集合,生成网络层的防火策略;
策略更新单元,用于当接收到由中控服务器发送的目标应用待启动的第一消息,从所述第一消息获取目标应用的目标应用IP,根据所述目标应用IP更新网络层的防火策略,当完成更新后将更新完毕的第二消息发送至中控服务器,所述第二消息用于通知目标应用的启动。
5.一种云原生防火墙的实现方法,所述方法应用于中控服务器,其特征在于,所述中控服务器存储有各资源服务器的防护策略,所述防护策略包括禁止接入和/或允许接入资源服务器的应用的应用ID,所述方法包括:
获取待启动的目标应用的目标应用ID和目标应用IP;
根据目标应用ID,从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器;
发送目标应用待启动的第一消息至目标资源服务器,所述第一消息包括目标应用的目标应用IP,用于通知目标资源服务器对防火策略进行更新;
当接收到所有目标资源服务器的防火策略更新完毕的第二消息后,控制启动所述目标应用。
6.根据权利要求5所述的方法,其特征在于,获取待启动的目标应用的目标应用ID和目标应用IP的过程,包括:
当接收到由调度平台发送的目标应用待启动的第四消息,根据所述第四消息获取待启动的目标应用的目标应用ID和目标应用IP。
7.根据权利要求6所述的方法,其特征在于,控制启动所述目标应用的过程,包括:
发送响应消息至调度平台,所述响应消息用于通知调度平台启动目标应用。
8.根据权利要求7所述的方法,其特征在于,还包括:
当接收到由调度平台发送的目标应用下线的第五消息:
根据目标应用的目标应用ID,从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器;
将目标应用下线的第三消息发送给目标资源服务器,所述第三消息包括目标应用的目标应用IP,用于通知目标资源服务器从网络层的防火策略中删除对应于所述目标应用IP的内容。
9.一种云原生防火墙的实现装置,其特征在于,包括:
信息接收单元,用于获取待启动的目标应用的目标应用ID和目标应用IP;
信息获取单元,用于根据目标应用ID,从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器;
通知发送单元,用于发送目标应用待启动的第一消息至目标资源服务器,所述第一消息包括目标应用的目标应用IP,用于通知目标资源服务器对防火策略进行更新;
控制启动单元,用于当接收到所有目标资源服务器的防火策略更新完毕的第二消息后,控制启动所述目标应用。
10.一种云原生防火墙的实现系统,其特征在于,包括:
资源服务器、中控服务器、调度平台;
所述中控服务器分别与所述资源服务器、所述调度平台通信连接;
所述资源服务器实现如权利要求1~3中任一项所述的云原生防火墙的实现方法的各个步骤;
所述中控服务器实现如权利要求5~8中任一项所述的云原生防火墙的实现方法的各个步骤;
所述调度平台存储有各应用的IP,用于对应用的上下线进行管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111262463.1A CN113992412B (zh) | 2021-10-28 | 2021-10-28 | 一种云原生防火墙的实现方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111262463.1A CN113992412B (zh) | 2021-10-28 | 2021-10-28 | 一种云原生防火墙的实现方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113992412A true CN113992412A (zh) | 2022-01-28 |
| CN113992412B CN113992412B (zh) | 2023-06-16 |
Family
ID=79743338
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111262463.1A Active CN113992412B (zh) | 2021-10-28 | 2021-10-28 | 一种云原生防火墙的实现方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992412B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180041470A1 (en) * | 2016-08-08 | 2018-02-08 | Talari Networks Incorporated | Applications and integrated firewall design in an adaptive private network (apn) |
| CN108667639A (zh) * | 2017-03-29 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 一种私有云环境下的资源管理方法及管理服务器 |
| US20190253388A1 (en) * | 2018-02-13 | 2019-08-15 | Palo Alto Networks, Inc. | Network layer signaling security with next generation firewall |
| CN111295640A (zh) * | 2017-09-15 | 2020-06-16 | 帕洛阿尔托网络公司 | 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施 |
| CN112995166A (zh) * | 2021-02-10 | 2021-06-18 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
| CN113014571A (zh) * | 2021-02-22 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种访问请求处理的方法、装置及存储介质 |
-
2021
- 2021-10-28 CN CN202111262463.1A patent/CN113992412B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180041470A1 (en) * | 2016-08-08 | 2018-02-08 | Talari Networks Incorporated | Applications and integrated firewall design in an adaptive private network (apn) |
| CN108667639A (zh) * | 2017-03-29 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 一种私有云环境下的资源管理方法及管理服务器 |
| CN111295640A (zh) * | 2017-09-15 | 2020-06-16 | 帕洛阿尔托网络公司 | 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施 |
| US20190253388A1 (en) * | 2018-02-13 | 2019-08-15 | Palo Alto Networks, Inc. | Network layer signaling security with next generation firewall |
| CN112995166A (zh) * | 2021-02-10 | 2021-06-18 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
| CN113014571A (zh) * | 2021-02-22 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种访问请求处理的方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113992412B (zh) | 2023-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10951659B2 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
| US11349881B2 (en) | Security-on-demand architecture | |
| US20190297116A1 (en) | Distribution and Management of Services in Virtual Environments | |
| US7966650B2 (en) | Dynamic internet address assignment based on user identity and policy compliance | |
| US20090217346A1 (en) | Dhcp centric network access management through network device access control lists | |
| EP3175381B1 (en) | Method and system for providing a virtual asset perimeter | |
| US20090007218A1 (en) | Switched-Based Network Security | |
| CN105871908B (zh) | 企业网络边界设备访问控制策略的管控方法及装置 | |
| US11539695B2 (en) | Secure controlled access to protected resources | |
| US11329959B2 (en) | Virtual routing and forwarding (VRF)-aware socket | |
| JP4636345B2 (ja) | セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム | |
| CN106411852B (zh) | 一种分布式终端准入控制方法和装置 | |
| CN112771833A (zh) | 向客户端节点分配标识符的方法、记录标识符的方法、对应设备、客户端节点、服务器和计算机程序 | |
| KR102184114B1 (ko) | 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치 | |
| KR101592323B1 (ko) | 서버 장애 시 원격 서버 복구 시스템 및 방법 | |
| CN113992412B (zh) | 一种云原生防火墙的实现方法及相关设备 | |
| JP2008234410A (ja) | リモートアクセスシステム、情報処理装置、リモートアクセスプログラム、及びリモートアクセス方法 | |
| Andersen | Changes to functionality in Microsoft Windows XP service pack 2 | |
| US11916957B1 (en) | System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network | |
| US20180331919A1 (en) | Obtain network address of one or more network device for use in authentication | |
| JP2005293007A (ja) | セキュリティチェックシステムおよびセキュリティチェック方法 | |
| CN116015692A (zh) | 一种网络准入控制方法、装置、终端及存储介质 | |
| CN117914505A (zh) | 控制终端安全访问互联网和内网的方法及设备 | |
| Park | I2NSF Registration Interface Information Model draft-hyun-i2nsf-registration-interface-im-04 | |
| CN118157885A (zh) | 远程访问处理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |