CN114710491B - 一种数据库集群的防护方法、数据库防火墙及介质 - Google Patents
一种数据库集群的防护方法、数据库防火墙及介质 Download PDFInfo
- Publication number
- CN114710491B CN114710491B CN202210343924.6A CN202210343924A CN114710491B CN 114710491 B CN114710491 B CN 114710491B CN 202210343924 A CN202210343924 A CN 202210343924A CN 114710491 B CN114710491 B CN 114710491B
- Authority
- CN
- China
- Prior art keywords
- address
- access port
- database
- access
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
Abstract
本申请实施例涉及数据库防火墙领域,公开了一种数据库集群的防护方法、数据库防火墙及介质。其中,所述方法应用于数据库防火墙,在接收到客户端的访问请求时,将访问请求发送至数据库集群,数据库集群用于接收访问请求后,返回服务信息,服务信息包括第一访问端口和第一ip地址;根据服务信息,生成配置文件,配置文件包括第二访问端口和第二ip地址,第二访问端口与第一访问端口对应,且第二ip地址与第一ip地址对应;基于第二访问端口和第二ip地址,建立所述客户端与所述数据库集群之间的连接。本申请的客户端访问数据库集群时,需要通过数据库防火墙,无法绕过数据库防火墙直接访问数据库集群,从而有效保护数据库集群的信息安全。
Description
技术领域
本申请实施例涉及数据库防护技术领域,尤其涉及一种数据库集群的防护方法、数据库防火墙及介质。
背景技术
随着数据库承载的数据量越来越大,对数据库的计算性能要求也越来越高,大数据组件的使用也越来越多,传统数据库往数据库集群发展成为趋势,因此,数据库防火墙在保护传统数据库过程中,也要适应在集群的环境中如何部署,做好集群数据库的防护工作。
本申请发明人在实现本申请实施例的过程中,发现:现有技术中,通常在数据库的防火墙上监听某个服务端口,数据库防火墙收到该服务端口的流量后,对数据库流量内容进行判断,如果没有风险,则通过Socket通信的方式将流量发送给数据库。然而,在数据库集群中,客户端在进行第一次成功通信后,数据库集群中的主服务器会指定一台从服务器为该客户端提供服务,此时的流量内容往往携带真实的从服务器IP、端口信息,而客户端一旦获得真实的从服务器IP、端口信息,就可以绕过数据库防火墙,使得数据库防火墙将无法很好的保护真实的数据库。
发明内容
本申请实施例的目的是提供一种数据库集群的防护方法、数据库防火墙及介质,能够优化传统的数据库防火墙,避免数据库防火墙被绕过的情况。
为解决上述技术问题,本申请实施例采用以下技术方案:
第一方面,本申请实施例中提供给了一种数据库集群的防护方法,应用于数据库防火墙,所述方法包括:
在接收到客户端的访问请求时,将所述访问请求发送至数据库集群,所述数据库集群用于接收所述访问请求后,返回服务信息,所述服务信息包括第一访问端口、第一ip地址;
根据所述服务信息,生成配置文件,所述配置文件包括第二访问端口、第二ip地址,所述第二访问端口与所述第一访问端口对应,且所述第二ip地址与所述第一ip地址对应;
基于所述第二访问端口和所述第二ip地址,建立所述客户端与所述数据库集群之间的连接。
在一些实施例中,在所述接收到客户端的访问请求之前,所述方法还包括:
获取所述数据库集群的各个服务节点的配置信息;
根据所述配置信息,配置访问端口和ip地址,所述访问端口分别与所述服务节点和ip地址对应。
在一些实施例中,所述在接收到客户端的访问请求时,将所述访问请求发送至数据库集群,包括:
监听各个所述访问端口,获得所述访问请求,且将所述访问请求发送至所述数据库集群。
在一些实施例中,所述根据所述服务信息,生成配置文件,包括:
解析所述服务信息,获得第一访问端口、第一ip地址;
根据所述第一访问端口,设置第二访问端口,且根据所述第一ip地址,设置第二ip地址;
基于所述第一访问端口、所述第二访问端口、所述第一ip地址、所述第二ip地址,生成所述配置文件。
在一些实施例中,所述基于所述第一访问端口、所述第二访问端口、所述第一ip地址、所述第二ip地址,生成所述配置文件,包括:
关联所述第一访问端口及第二访问端口,且关联所述第一ip地址和所述第二ip地址,生成所述配置文件。
在一些实施例中,所述方法还包括:
在接收到所述客户端的查询信息时,获取与所述客户端建立连接的第三访问端口和第三ip地址;
根据所述第三访问端口和所述第三ip地址,查询与所述服务节点对应的第四访问端口和第四ip地址,以供客户端通过所述第四访问端口和第四ip地址查询所述服务节点,其中,所述第三访问端口与所述第四访问端口对应,第三ip地址和第四ip地址对应。
第二方面,本申请实施例还提供一种数据库集群的防护装置,应用于数据库防火墙,所述装置包括:
转发模块,用于在接收到客户端的访问请求时,将所述访问请求发送至数据库集群,所述数据库集群用于接收所述访问请求后,返回服务信息,所述服务信息包括第一访问端口、第一ip地址;
配置文件生成模块,用于根据所述服务信息,生成配置文件,所述配置文件包括第二访问端口、第二ip地址,所述第二访问端口与所述第一访问端口对应,且所述第二ip地址与所述第一ip地址对应;
连接建立模块,用于基于所述第二访问端口和所述第二ip地址,建立所述客户端与所述数据库集群之间的连接。
第三方面,本申请还提供一种数据库防火墙,所述数据库防火墙包括:
至少一个处理器,以及
存储器,所述存储器与所述处理器通信连接,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如第一方面所述的方法。
第四方面,本申请还提供一种非易失性计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,当所述计算机可执行指令被数据库防火墙执行时,使所述数据库防火墙执行如第一方面任一项所述的方法。
本申请实施例的有益效果:区别于现有技术的情况,本申请实施例提供的数据库集群的防护方法、装置、数据库防火墙及介质,数据库防火墙在接收到客户端的访问请求时,将所述访问请求发送至数据库集群,数据库集群在接收到访问请求后,返回服务信息,服务信息包括第一访问端口、第一ip地址,然后,数据库防火墙根据接收到的服务信息,生成配置文件,所述配置文件包括第二访问端口、第二ip地址,所述第二访问端口与所述第一访问端口对应,且所述第二ip地址与所述第一ip地址对应,避免直接将第一访问端口和第一ip地址发送给客户端;最后,数据库防火墙基于第二访问端口和第二ip地址建立所述客户端与所述数据库集群之间的连接,客户端通过第二访问端口和第二ip地址访问数据集集群,由于第二访问端口和第二ip地址设置在数据库防火墙上,因此,当客户端再次使用第二访问端口和第二ip地址访问数据库集群时,需要通过数据库防火墙,无法绕过数据库防火墙直接访问数据库集群,从而有效保护数据库集群的信息安全。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是本申请数据库防火墙与客户端、数据库集群之间的交互图;
图2是本申请数据库集群的防护方法的一个实施例的流程示意图;
图3是本申请数据库集群的防护方法的又一个实施例的流程示意图;
图4是本申请数据库集群的防护装置的一个实施例的结构示意图;
图5是本申请数据库防火墙的一个实施例中控制器的硬件结构示意图。
具体实施方式
下面结合具体实施例对本申请进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本申请,但不以任何形式限制本申请。应当指出的是,对本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进。这些都属于本申请的保护范围。
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
需要说明的是,如果不冲突,本申请实施例中的各个特征可以相互结合,均在本申请的保护范围之内。另外,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。此外,本文所采用的“第一”、“第二”、“第三”等字样并不对数据和执行次序进行限定,仅是对功能和作用基本相同的相同项或相似项进行区分。
除非另有定义,本说明书所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本说明书中在本申请的说明书中所使用的术语只是为了描述具体的实施方式的目的,不是用于限制本申请。本说明书所使用的术语“和/或”包括一个或多个相关的所列项目的任意的和所有的组合。
此外,下面所描述的本申请各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本申请实施例提供的数据库集群的防护方法和装置可以应用于数据库防火墙,数据库防火墙,串联部署在数据库服务器之前,解决数据库应用侧和运维侧两方面的问题,是一款基于数据库协议分析与控制技术的数据库安全防护系统。DBFirewall基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
如图1所示,图1为数据库防火墙分别与客户端、数据库集群之间的交互图,在客户端向数据库防火墙发起访问请求时,数据库防火墙将接收到的访问请求发送给数据库集群,数据库集群的主数据库接收到访问请求后,确认能够访问的从数据库,然后,主数据库将包含有能访问的从数据库的访问端口的服务信息发送给数据库防火墙,数据库防火墙在接收服务信息后,获得能够访问的从数据库的访问端口和ip地址,为第一访问端口和第一ip地址,并且,数据库防火墙根据服务信息,生成配置文件,配置文件包括第二访问端口和第二ip地址,并且,第二访问端口与第一访问端口对应,第一ip地址与第二ip地址对应,接着,数据库防火墙将所述配置文件发送至客户端,客户端在接收到配置文件后,可以通过配置文件的第二访问端口和第二ip地址访问数据库集群中能够访问的从数据库,从而能够优化传统的数据库防火墙,避免数据库防火墙被绕过的情况。
请参见图2,为应用于本申请的数据库集群的防护方法的实施例的流程示意图,所述方法可以由数据库防火墙中的控制器执行,该方法包括步骤S101-步骤S103。
S101:在接收到客户端的访问请求时,将所述访问请求发送至数据库集群,所述数据库集群用于接收所述访问请求后,返回服务信息,所述服务信息包括第一访问端口、第一ip地址。
当用户的客户端想要访问数据库集群中的某个数据库时,客户端向数据库防火墙发起访问请求,此时,数据库防火墙接收访问请求,然后将访问请求发送至数据库集群。
可以理解的是,访问请求包括客户端的名称、地址等信息,与现有技术中客户端向数据库集群发起的访问请求类似,在此不再赘述。
在其中一些实施方式中,在所述接收到客户端的访问请求之前,所述方法还包括:
获取所述数据库集群的各个服务节点的配置信息;
根据所述配置信息,配置访问端口和ip地址,所述访问端口分别与所述服务节点和ip地址对应。
具体地,客户端能向数据库防火墙发起访问请求前,数据库防火墙为了防止客户端绕过数据库防火墙直接访问数据库集群,首先在数据库防火墙上配置hadoop(分布式系统基础架构)或者oracle RAC(real application clusters,实时应用集群)的所有节点监听端口,保证集群中每一个节点都在防火墙上有对应的监听服务,即数据库防火墙获取数据库集群的各个服务节点的配置信息,其中,服务节点可以为RAC服务节点,各个服务节点与数据库集群中的各个数据库对应,配置信息包括各个服务节点的指定ip地址和端口号。然后,数据库防火墙根据配置信息,配置访问端口。例如,服务节点1为从数据库1,以从数据库1为本地数据库MySQL为例,从数据库1的指定ip地址为127.0.0.122,端口号为3306,则基于从数据库的1的指定ip地址和端口号给从数据库1配置的访问端口为端口1,ip地址为127.0.0.122;使得端口1与从从数据库1对应,且访问端口与ip地址对应。以此类推,数据库防火墙配置完数据库集群中各个从数据库的访问端口,分别为端口1、端口2、……、端口N,对应的ip地址分别为第一ip地址、第二ip地址、……、第N ip地址。
在数据库防火墙配置好各个访问端口和ip地址后,数据库防火墙监听各个所述访问端口,当客户端发起访问请求时,数据库防火墙通过访问端口获得客户端发起的访问请求,且将所述访问请求发送至所述数据库集群。
数据库集群在接收到访问请求后,通过数据库集群的主数据库查询数据库集群中能够访问的从数据库,在确定从数据库1可以被访问时,生成服务信息,并将服务信息返回给客户端。其中,服务信息包括可以被访问的从数据库对应的第一访问端口和第一ip地址。
例如,访问请求为:请求防火墙port1,服务信息为请访问从数据库1,那么,在数据库防火墙接收到客户端的访问请求(请求防火墙port1)时,将访问请求发送至数据库集群,数据库集群中的主数据库在接收到数据库防火墙转发的访问请求后,查询可以被访问的从数据库,获得服务信息,然后将服务信息“请访问从数据库1”返回给数据库防火墙,并且,服务信息携带有与从数据库1对应的第一ip地址。
S102:根据所述服务信息,生成配置文件,所述配置文件包括第二访问端口和所述第二ip地址,所述第二访问端口与所述第一访问端口对应,且所述第二ip地址与所述第一ip地址对应。
进一步地,数据库防火墙在接收到数据库集群返回的服务信息后,根据所述服务信息,生成配置文件,可以包括:
解析所述服务信息,获得第一访问端口、第一ip地址;
根据所述第一访问端口,设置第二访问端口,且根据所述第一ip地址,设置第二ip地址;
基于所述第一访问端口、所述第二访问端口、所述第一ip地址、所述第二ip地址,生成所述配置文件。
具体地,数据库防火墙解析所述服务信息,获得第一访问端口和第一ip地址;例如,获得的第一访问端口为从数据库1对应的访问端口以及第一ip地址,然后,根据所述第一访问端口,设置第二访问端口,且根据第一ip地址,设置第二ip地址;基于所述第一访问端口、所述第二访问端口、所述第一ip地址、所述第二ip地址,生成所述配置文件,进一步地,生成配置文件可以为:关联所述第一访问端口及第二访问端口,,且关联所述第一ip地址和所述第二ip地址,生成所述配置文件,例如,第一访问端口为端口1,第一ip地址为127.0.0.122,在数据库防火墙上设置一个第二访问端口,为端口2,端口1与端口2对应,且将第一ip地址127.0.0.122修改为第二ip地址127.0.0.121,将第一访问端口和第二访问端口关联起来,且将第一ip地址和第二ip地址关联起来,可以采用映射表的方式,第一访问端口的地址-第二访问端口,对应第一ip地址-第二ip地址,生成配置文件,配置文件包括第一访问端口的的端口号和第二访问端口的端口号,且第一访问端口与第二访问端口对应,以及第一ip地址和第二ip地址,且第一ip地址和第二ip地址对应。
S103:基于所述第二访问端口和所述第二ip地址,建立所述客户端与所述数据库集群之间的连接。
数据库防火墙在生成配置文件后,将配置文件发送至客户端,客户端在接收到配置文件后,获得可以访问的端口以及ip地址,为数据库防火墙上的第二访问端口和第二ip地址,并通过第二访问端口和第二ip地址与数据库集群建立连接,从而可以实现对数据库集群的访问、查询等操作。
例如,数据库集群将服务信息“请访问从数据库1”返回给数据库防火墙后,数据库防火墙通过更改该服务信息,生成配置文件,且将配置文件的信息“请访问防火墙port2”并发送给客户端,配置文件携带有第二ip地址,客户端利用防火墙port2的第二访问端口以及第二ip地址与数据库集群建立连接后,可以对数据库集群的对应从数据库进行访问。
在其中一些实施例中,在客户端通过数据库防火墙与数据库集群建立连接后,所述方法还可以包括:
在接收到所述客户端的查询信息时,获取与所述客户端建立连接的第三访问端口和第三ip地址;
根据所述第三访问端口和所述第三ip地址,查询与所述服务节点对应的第四访问端口和第四ip地址,以供客户端通过所述第四访问端口和第四ip地址查询所述服务节点,其中,所述第三访问端口与所述第四访问端口对应,第三ip地址和第四ip地址对应。
具体地,当客户端通过数据库防火墙与数据库集群建立连接后,客户端需要对数据库集群进行查询,那么,当客户端发送查询信息时,数据库防火墙接收到客户端的查询信息,然后,数据库防火墙获取与所述客户端建立连接的第三访问端口和第三ip地址,并且,数据库防火墙根据所述第三访问端口,查询与所述服务节点对应的第四访问端口,且根据第三ip地址,查询与所述服务节点对应的第四ip地址,以供客户端通过所述第四访问端口和第四ip地址查询所述服务节点,其中,所述第三访问端口与所述第四访问端口对应,第三ip地址和第四ip地址对应。
在其中一些实施方式中,本申请还提供一种数据库集群的防护方法,应用于数据库防火墙,如图3所示,所述方法包括:
A1:接收客户端发起的访问请求“请求防火墙port1”;
A2:将所述访问请求转发至数据库集群,所述数据库集群回复服务信息“请访问从数据库1”,服务信息包括第一访问端口和第一ip地址;
A3:解析服务信息;
A4:更改服务信息,生成配置文件,配置文件包括第二访问端口和第二ip地址;
A5:根据配置文件,回复客户端可以访问第二访问端口和第二ip地址;
A6:基于所述第二访问端口和第二ip地址,建立所述客户端与所述数据库集群之间的连接。
本申请的实施例,数据库防火墙在接收到客户端的访问请求时,将所述访问请求发送至数据库集群,数据库集群在接收到访问请求后,返回服务信息,服务信息包括第一访问端口、第一ip地址,然后,数据库防火墙根据接收到的服务信息,生成配置文件,所述配置文件包括第二访问端口、第二ip地址,所述第二访问端口与所述第一访问端口对应,且所述第二ip地址与所述第一ip地址对应,避免直接将第一访问端口和第一ip地址发送给客户端;最后,数据库防火墙基于第二访问端口和第二ip地址建立所述客户端与所述数据库集群之间的连接,客户端通过第二访问端口和第二ip地址访问数据集集群,由于第二访问端口和第二ip地址设置在数据库防火墙上,因此,当客户端再次使用第二访问端口和第二ip地址访问数据库集群时,需要通过数据库防火墙,无法绕过数据库防火墙直接访问数据库集群,从而有效保护数据库集群的信息安全。
本申请实施例还提供了一种数据库集群的防护装置,请参阅图3,其示出了本申请实施例提供的一种数据库集群的防护装置的结构,该数据库集群的防护装置400包括:
转发模块401,用于在接收到客户端的访问请求时,将所述访问请求发送至数据库集群,所述数据库集群用于接收所述访问请求后,返回服务信息,所述服务信息包括第一访问端口、第一ip地址;
配置文件生成模块402,用于根据所述服务信息,生成配置文件,所述配置文件包括第二访问端口、第二ip地址,所述第二访问端口与所述第一访问端口对应,且所述第二ip地址与所述第一ip地址对应;
连接建立模块403,用于基于所述第二访问端口和所述第二ip地址,建立所述客户端与所述数据库集群之间的连接。
本申请的实施例,数据库防火墙在接收到客户端的访问请求时,将所述访问请求发送至数据库集群,数据库集群在接收到访问请求后,返回服务信息,服务信息包括第一访问端口、第一ip地址,然后,数据库防火墙根据接收到的服务信息,生成配置文件,所述配置文件包括第二访问端口、第二ip地址,所述第二访问端口与所述第一访问端口对应,且所述第二ip地址与所述第一ip地址对应,避免直接将第一访问端口和第一ip地址发送给客户端;最后,数据库防火墙基于第二访问端口和第二ip地址建立所述客户端与所述数据库集群之间的连接,客户端通过第二访问端口和第二ip地址访问数据集集群,由于第二访问端口和第二ip地址设置在数据库防火墙上,因此,当客户端再次使用第二访问端口和第二ip地址访问数据库集群时,需要通过数据库防火墙,无法绕过数据库防火墙直接访问数据库集群,从而有效保护数据库集群的信息安全。
在一些实施例中,该数据库集群的防护装置400还包括配置模块404,用于:
获取所述数据库集群的各个服务节点的配置信息;
根据所述配置信息,配置访问端口和ip地址,所述访问端口分别与所述服务节点和ip地址对应。
在一些实施例中,转发模块401,用于:
监听各个所述访问端口,获得所述访问请求,且将所述访问请求发送至所述数据库集群。
在一些实施例中,配置文件生成模块402,还用于:
解析所述服务信息,获得第一访问端口、第一ip地址;
根据所述第一访问端口,设置第二访问端口,且根据所述第一ip地址,设置第二ip地址;
基于所述第一访问端口、所述第二访问端口、所述第一ip地址、所述第二ip地址,生成所述配置文件。
在一些实施例中,配置文件生成模块402,还用于:
关联所述第一访问端口及第二访问端口,且关联所述第一ip地址和所述第二ip地址,生成所述配置文件。
在一些实施例中,装置400还包括查询模块405,用于:
在接收到所述客户端的查询信息时,获取与所述客户端建立连接的第三访问端口和第三ip地址;
根据所述第三访问端口和所述第三ip地址,查询与所述服务节点对应的第四访问端口和第四ip地址,以供客户端通过所述第四访问端口和第四ip地址查询所述服务节点,其中,所述第三访问端口与所述第四访问端口对应,第三ip地址和第四ip地址对应。
需要说明的是,上述装置可执行本申请实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在装置实施例中详尽描述的技术细节,可参见本申请实施例所提供的方法。
图5为数据库防火墙的一个实施例中控制器的硬件结构示意图,如图5所示,控制器包括:
一个或多个处理器111、存储器112。图5中以一个处理器111、一个存储器112为例。
处理器111、存储器112可以通过总线或者其他方式连接,图5中以通过总线连接为例。
存储器112作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的数据库集群的防护方法对应的程序指令/模块(例如,附图4所示的转发模块401、配置文件生成模块402、连接建立模块403、配置模块404、查询模块405)。处理器111通过运行存储在存储器112中的非易失性软件程序、指令以及模块,从而执行控制器的各种功能应用以及数据处理,即实现上述方法实施例的数据库集群的防护方法。
存储器112可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据数据库集群的防护装置的使用所创建的数据等。此外,存储器112可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器112可选包括相对于处理器111远程设置的存储器,这些远程存储器可以通过网络连接至数据库防火墙。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器112中,当被所述一个或者多个处理器111执行时,执行上述任意方法实施例中的数据库集群的防护方法,例如,执行以上描述的图2中的方法步骤S101至步骤S103;实现图4中的模块401-405的功能。
上述产品可执行本申请实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本申请实施例所提供的方法。
本申请实施例提供了一种非易失性计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行,例如图5中的一个处理器111,可使得上述一个或多个处理器可执行上述任意方法实施例中的数据库集群的防护方法,例如,执行以上描述的图2中的方法步骤S101至步骤S103;实现图4中的模块401-405的功能。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
通过以上的实施例的描述,本领域普通技术人员可以清楚地了解到各实施例可借助软件加通用硬件平台的方式来实现,当然也可以通过硬件。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明,它们没有在细节中提供;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (8)
1.一种数据库集群的防护方法,其特征在于,应用于数据库防火墙,所述方法包括:
在接收到客户端的访问请求时,将所述访问请求发送至数据库集群,所述数据库集群用于接收所述访问请求后,返回服务信息,所述服务信息包括第一访问端口、第一ip地址;
根据所述服务信息,生成配置文件,所述配置文件包括第二访问端口、第二ip地址,所述第二访问端口与所述第一访问端口对应,且所述第二ip地址与所述第一ip地址对应;
基于所述第二访问端口和所述第二ip地址,建立所述客户端与所述数据库集群之间的连接;
在所述接收到客户端的访问请求之前,所述方法还包括:
获取所述数据库集群的各个服务节点的配置信息;
根据所述配置信息,配置访问端口和i p地址,所述访问端口分别与所述服务节点和ip地址对应。
2.根据权利要求1所述的方法,其特征在于,所述在接收到客户端的访问请求时,将所述访问请求发送至数据库集群,包括:
监听各个所述访问端口,获得所述访问请求,且将所述访问请求发送至所述数据库集群。
3.根据权利要求1所述的方法,其特征在于,所述根据所述服务信息,生成配置文件,包括:
解析所述服务信息,获得第一访问端口、第一ip地址;
根据所述第一访问端口,设置第二访问端口,且根据所述第一ip地址,设置第二ip地址;
基于所述第一访问端口、所述第二访问端口、所述第一ip地址、所述第二ip地址,生成所述配置文件。
4.根据权利要求1所述的方法,其特征在于,所述基于所述第一访问端口、所述第二访问端口、所述第一ip地址、所述第二ip地址,生成所述配置文件,包括:
关联所述第一访问端口及第二访问端口,且关联所述第一ip地址和所述第二ip地址,生成所述配置文件。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在接收到所述客户端的查询信息时,获取与所述客户端建立连接的第三访问端口和第三ip地址;
根据所述第三访问端口和所述第三ip地址,查询与所述服务节点对应的第四访问端口和第四ip地址,以供客户端通过所述第四访问端口和第四ip地址查询所述服务节点,其中,所述第三访问端口与所述第四访问端口对应,第三ip地址和第四ip地址对应。
6.一种数据库集群的防护装置,其特征在于,应用于数据库防火墙,所述装置包括:
转发模块,用于在接收到客户端的访问请求时,将所述访问请求发送至数据库集群,所述数据库集群用于接收所述访问请求后,返回服务信息,所述服务信息包括第一访问端口、第一ip地址;
配置文件生成模块,用于根据所述服务信息,生成配置文件,所述配置文件包括第二访问端口、第二ip地址,所述第二访问端口与所述第一访问端口对应,且所述第二ip地址与所述第一ip地址对应;
连接建立模块,用于基于所述第二访问端口和所述第二ip地址,建立所述客户端与所述数据库集群之间的连接;
配置模块,用于:
获取所述数据库集群的各个服务节点的配置信息;
根据所述配置信息,配置访问端口和i p地址,所述访问端口分别与所述服务节点和ip地址对应。
7.一种数据库防火墙,其特征在于,所述数据库防火墙包括:
至少一个处理器,以及
存储器,所述存储器与所述处理器通信连接,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-5任一项所述的方法。
8.一种非易失性计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,当所述计算机可执行指令被数据库防火墙执行时,使所述数据库防火墙设备执行如权利要求1-5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210343924.6A CN114710491B (zh) | 2022-03-31 | 2022-03-31 | 一种数据库集群的防护方法、数据库防火墙及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210343924.6A CN114710491B (zh) | 2022-03-31 | 2022-03-31 | 一种数据库集群的防护方法、数据库防火墙及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114710491A CN114710491A (zh) | 2022-07-05 |
| CN114710491B true CN114710491B (zh) | 2024-04-26 |
Family
ID=82173162
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210343924.6A Active CN114710491B (zh) | 2022-03-31 | 2022-03-31 | 一种数据库集群的防护方法、数据库防火墙及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114710491B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007180963A (ja) * | 2005-12-28 | 2007-07-12 | Fujitsu Ltd | クラスタノード制御プログラム、クラスタノード、クラスタシステム制御方法 |
| CN109327535A (zh) * | 2018-11-09 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种数据库访问方法、系统、中间件设备及介质 |
| CN110290174A (zh) * | 2019-05-24 | 2019-09-27 | 华为技术有限公司 | 一种主主集群的控制方法以及控制节点 |
| CN110365663A (zh) * | 2019-06-28 | 2019-10-22 | 北京淇瑀信息科技有限公司 | 一种隔离集群之间的访问方法、装置及电子设备 |
| CN111404924A (zh) * | 2020-03-12 | 2020-07-10 | 腾讯云计算(北京)有限责任公司 | 集群系统的安全管控方法、装置、设备及存储介质 |
| CN111460460A (zh) * | 2020-04-02 | 2020-07-28 | 北京金山云网络技术有限公司 | 任务访问方法、装置、代理服务器及机器可读存储介质 |
| CN112468314A (zh) * | 2020-10-29 | 2021-03-09 | 贵州新致普惠信息技术有限公司 | 基于服务网格实现的日志服务自动化部署的方法 |
| CN113938308A (zh) * | 2021-10-22 | 2022-01-14 | 中国联合网络通信集团有限公司 | 应用集群安全防护系统、方法、电子设备及存储介质 |
| CN114238279A (zh) * | 2021-12-20 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 数据库安全防护方法、装置、系统、存储介质和电子设备 |
-
2022
- 2022-03-31 CN CN202210343924.6A patent/CN114710491B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007180963A (ja) * | 2005-12-28 | 2007-07-12 | Fujitsu Ltd | クラスタノード制御プログラム、クラスタノード、クラスタシステム制御方法 |
| CN109327535A (zh) * | 2018-11-09 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种数据库访问方法、系统、中间件设备及介质 |
| CN110290174A (zh) * | 2019-05-24 | 2019-09-27 | 华为技术有限公司 | 一种主主集群的控制方法以及控制节点 |
| CN110365663A (zh) * | 2019-06-28 | 2019-10-22 | 北京淇瑀信息科技有限公司 | 一种隔离集群之间的访问方法、装置及电子设备 |
| CN111404924A (zh) * | 2020-03-12 | 2020-07-10 | 腾讯云计算(北京)有限责任公司 | 集群系统的安全管控方法、装置、设备及存储介质 |
| CN111460460A (zh) * | 2020-04-02 | 2020-07-28 | 北京金山云网络技术有限公司 | 任务访问方法、装置、代理服务器及机器可读存储介质 |
| CN112468314A (zh) * | 2020-10-29 | 2021-03-09 | 贵州新致普惠信息技术有限公司 | 基于服务网格实现的日志服务自动化部署的方法 |
| CN113938308A (zh) * | 2021-10-22 | 2022-01-14 | 中国联合网络通信集团有限公司 | 应用集群安全防护系统、方法、电子设备及存储介质 |
| CN114238279A (zh) * | 2021-12-20 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 数据库安全防护方法、装置、系统、存储介质和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114710491A (zh) | 2022-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10567413B2 (en) | Rule-based network-threat detection | |
| US11665205B2 (en) | Location services on a data exchange layer | |
| CN111460460B (zh) | 任务访问方法、装置、代理服务器及机器可读存储介质 | |
| US9213581B2 (en) | Method and system for a cloud frame architecture | |
| KR101850351B1 (ko) | P2P 프로토콜을 이용한 IoC 정보 조회 방법 | |
| EP3319270B1 (en) | Service registration method, usage method and relevant apparatus | |
| CN111404951B (zh) | 一种云网络的租户创建方法、计算机设备及存储介质 | |
| CN113709052B (zh) | 一种网络报文的处理方法、装置、电子设备和存储介质 | |
| CN112437006A (zh) | 基于api网关的请求控制方法、装置、电子设备和存储介质 | |
| CN114143090B (zh) | 基于网络安全架构的防火墙部署方法、装置、设备及介质 | |
| CN114710491B (zh) | 一种数据库集群的防护方法、数据库防火墙及介质 | |
| US20230350966A1 (en) | Communicating url categorization information | |
| US20160205135A1 (en) | Method and system to actively defend network infrastructure | |
| US11580163B2 (en) | Key-value storage for URL categorization | |
| US8260942B2 (en) | Cluster view performance | |
| CN114629744B (zh) | 基于macvlan主机网络的数据访问方法、系统及相关装置 | |
| US10791088B1 (en) | Methods for disaggregating subscribers via DHCP address translation and devices thereof | |
| CN114338809A (zh) | 访问控制方法、装置、电子设备和存储介质 | |
| CN108989300B (zh) | 一种存储环境ip权限控制方法与系统 | |
| WO2015057213A1 (en) | Reflecting mdns packets | |
| US11983220B2 (en) | Key-value storage for URL categorization | |
| CN114844951B (zh) | 请求处理方法、系统、设备、存储介质及产品 | |
| EP3968569B1 (en) | Linearly scalable network security architecture | |
| JP2023513387A (ja) | デバイス保護方法及びデバイス | |
| CN116938577A (zh) | 通信代理的事件分发方法、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |