CN115037551B - 连接权限控制方法、装置、电子设备及存储介质 - Google Patents
连接权限控制方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115037551B CN115037551B CN202210753945.5A CN202210753945A CN115037551B CN 115037551 B CN115037551 B CN 115037551B CN 202210753945 A CN202210753945 A CN 202210753945A CN 115037551 B CN115037551 B CN 115037551B
- Authority
- CN
- China
- Prior art keywords
- address
- client
- container
- target
- internet protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 230000002452 interceptive effect Effects 0.000 claims abstract description 38
- 230000003993 interaction Effects 0.000 claims description 37
- 238000013519 translation Methods 0.000 claims description 31
- 238000004458 analytical method Methods 0.000 claims description 27
- 238000011068 loading method Methods 0.000 claims description 24
- 238000011217 control strategy Methods 0.000 claims description 22
- 230000006399 behavior Effects 0.000 claims description 19
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000013515 script Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 abstract description 14
- 230000008569 process Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 9
- 238000006243 chemical reaction Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种连接权限控制方法、装置、电子设备及存储介质。所述方法包括:响应于客户端发送的针对容器集群的访问请求,在建立与容器集群的后台系统的连接之前,获取客户端的互联网协议地址;调用地址写入模块,将互联网协议地址写入目标协议层地址选项内;在目标协议层地址选项内添加互联网协议地址的地址访问策略;在地址访问策略为允许访问策略的情况下,调用预置跟踪插件对互联网协议地址进行跟踪,得到客户端访问的容器集群内的目标容器,及客户端与目标容器之间的交互数据信息;根据交互数据信息和预置流控规则,对客户端与容器集群之间的连接权限进行控制。本申请可以实现针对性的进行出/入向流量控制和监控,增加网络的可监测性。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种连接权限控制方法、装置、电子设备及存储介质。
背景技术
随着微服务以及Docker(应用容器引擎)等轻量级容器技术的发展,Kubernates、Apache Mesos等容器编排平台逐渐成为分布式运维架构的主流方案。
与传统的基于防火墙的主机网络安全策略不同,容器虚拟网络和动态调度的特性使得防火墙等传统边界安全方案变得捉襟见肘,无法适应大规模集群的动态伸缩性。因此各容器编排平台或云平台均基于微服务高动态调度的特点,实现了基于标签、IP(InternetProtocol,网络之间互连的协议)等更为灵活的网络安全策略。此种网络安全策略在LB/NAT负载均衡的场景下,外源IP会被LBIP所代替,导致后端服务无法直接获取真实的外源IP,也就无法针对性的进行出/入向流量控制和监控,丢失了真实的流量拓扑。
发明内容
本申请实施例的目的在于提供一种连接权限控制方法、装置、电子设备及存储介质,以实现针对性的进行出/入向流量控制和监控,增加网络的可监测性。具体技术方案如下:
在本申请实施的第一方面,提供了一种连接权限控制方法,应用于网络地址转换层,包括:
响应于客户端发送的针对容器集群的访问请求,在建立与所述容器集群的后台系统的连接之前,获取所述客户端的互联网协议地址;
调用预先加载的地址写入模块,将所述互联网协议地址写入目标协议层地址选项内;
在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略;
在所述地址访问策略为允许访问策略的情况下,调用预置跟踪插件对所述互联网协议地址进行跟踪,得到所述客户端访问的所述容器集群内的目标容器,及所述客户端与所述目标容器之间的交互数据信息;
根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制。
可选地,在所述获取所述客户端的互联网协议地址之前,还包括:
编译预设脚本,生成所述地址写入模块;
在内核中加载所述地址写入模块;
在接收到所述客户端的访问请求之后,启动所述地址写入模块。
可选地,所述调用预先加载的地址写入模块,将所述互联网协议地址写入协议层地址选项内,包括:
在所述地址写入模块为传输控制协议对应的地址写入模块的情况下,基于所述地址写入模块将所述互联网协议地址写入所述传输控制协议的地址选项内;
在所述地址写入模块为用户数据报协议对应的地址写入模块的情况下,基于所述地址写入模块将所述互联网协议地址写入所述用户数据报协议的地址选项内。
可选地,所述在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略,包括:
判断所述互联网协议地址是否处于地址黑名单内;
在确定所述互联网协议地址处于地址黑名单内的情况下,在所述目标协议层地址选项内添加所述互联网协议地址对应的禁止访问策略;
在确定所述互联网协议地址未处于地址黑名单内的情况下,在所述目标协议层地址选项内添加所述互联网协议地址对应的允许访问策略。
可选地,在所述在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略之后,还包括:
在携带所述目标协议层地址选项访问所述后台系统的应用层之前,解析所述目标协议层地址选项,得到解析结果;
在所述解析结果指示所述互联网协议地址的访问策略为禁止访问策略的情况下,断开所述客户端与所述后台系统之间的网络连接;
在所述解析结果指示互联网协议地址的访问策略为允许访问策略的情况下,建立所述客户端与所述后台系统之间的网络连接。
可选地,所述根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制,包括:
根据所述预置流控规则,判断所述交互数据信息是否为攻击行为信息;
在所述交互数据信息为攻击行为信息的情况下,修改与所述客户端对应的防火墙配置信息,以断开所述客户端与所述容器集群之间的连接。
可选地,在所述根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制之前,还包括:
获取所述后台系统配置的流量控制策略;
对所述流量控制策略进行编译处理,生成所述预置流控规则;
在内核中加载所述预置流控规则,以启用所述预置流控规则。
可选地,所述调用预置跟踪插件对所述互联网协议地址进行跟踪,得到所述客户端访问的所述容器集群内的目标容器,及所述客户端与所述目标容器之间的交互数据信息,包括:
调用所述预置跟踪插件获取所述客户端访问的所述目标容器;
获取所述目标容器所属目标子容器集群的目标集群标识;所述目标子容器集群是指所述容器集群内划分的多个子容器集群中的子容器集群;
每隔预设时长获取一次所述目标容器的容器IP;
调用所述预置跟踪插件对所述目标集群标识、所述容器IP和互联网协议地址进行跟踪,得到所述客户端与所述目标容器之间的交互数据信息。
在本申请实施的第二方面,还提供了一种连接权限控制装置,应用于网络地址转换层,包括:
互联网地址获取模块,用于响应于客户端发送的针对容器集群的访问请求,在建立与所述容器集群的后台系统的连接之前,获取所述客户端的互联网协议地址;
互联网地址写入模块,用于调用预先加载的地址写入模块,将所述互联网协议地址写入目标协议层地址选项内;
地址访问策略添加模块,用于在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略;
交互数据信息获取模块,用于在所述地址访问策略为允许访问策略的情况下,调用预置跟踪插件对所述互联网协议地址进行跟踪,得到所述客户端访问的所述容器集群内的目标容器,及所述客户端与所述目标容器之间的交互数据信息;
连接权限控制模块,用于根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制。
可选地,所述装置还包括:
地址写入生成模块,用于编译预设脚本,生成所述地址写入模块;
地址写入加载模块,用于在内核中加载所述地址写入模块;
地址写入启动模块,用于在接收到所述客户端的访问请求之后,启动所述地址写入模块。
可选地,所述互联网地址写入模块包括:
第一地址写入单元,用于在所述地址写入模块为传输控制协议对应的地址写入模块的情况下,基于所述地址写入模块将所述互联网协议地址写入所述传输控制协议的地址选项内;
第二地址写入单元,用于在所述地址写入模块为用户数据报协议对应的地址写入模块的情况下,基于所述地址写入模块将所述互联网协议地址写入所述用户数据报协议的地址选项内。
可选地,所述地址访问策略添加模块包括:
地址黑名单判断单元,用于判断所述互联网协议地址是否处于地址黑名单内;
禁止访问策略添加单元,用于在确定所述互联网协议地址处于地址黑名单内的情况下,在所述目标协议层地址选项内添加所述互联网协议地址对应的禁止访问策略;
允许访问策略添加单元,用于在确定所述互联网协议地址未处于地址黑名单内的情况下,在所述目标协议层地址选项内添加所述互联网协议地址对应的允许访问策略。
可选地,所述装置还包括:
解析结果获取模块,用于在携带所述目标协议层地址选项访问所述后台系统的应用层之前,解析所述目标协议层地址选项,得到解析结果;
网络连接断开模块,用于在所述解析结果指示所述互联网协议地址的访问策略为禁止访问策略的情况下,断开所述客户端与所述后台系统之间的网络连接;
网络连接建立模块,用于在所述解析结果指示互联网协议地址的访问策略为允许访问策略的情况下,建立所述客户端与所述后台系统之间的网络连接。
可选地,所述连接权限控制模块包括:
攻击行为判断单元,用于根据所述预置流控规则,判断所述交互数据信息是否为攻击行为信息;
防火墙配置修改单元,用于在所述交互数据信息为攻击行为信息的情况下,修改与所述客户端对应的防火墙配置信息,以断开所述客户端与所述容器集群之间的连接。
可选地,所述装置还包括:
流量控制策略获取模块,用于获取所述后台系统配置的流量控制策略;
预置流控规则生成模块,用于对所述流量控制策略进行编译处理,生成所述预置流控规则;
预置流控规则加载模块,用于在内核中加载所述预置流控规则,以启用所述预置流控规则。
可选地,所述交互数据信息获取模块包括:
目标容器获取单元,用于调用所述预置跟踪插件获取所述客户端访问的所述目标容器;
目标集群标识获取单元,用于获取所述目标容器所属目标子容器集群的目标集群标识;所述目标子容器集群是指所述容器集群内划分的多个子容器集群中的子容器集群;
容器IP获取单元,用于每隔预设时长获取一次所述目标容器的容器IP;
交互数据信息获取单元,用于调用所述预置跟踪插件对所述目标集群标识、所述容器IP和互联网协议地址进行跟踪,得到所述客户端与所述目标容器之间的交互数据信息。
在本申请实施的又一方面,还提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述任一项所述的连接权限控制方法。
在本申请实施的又一方面,还提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行上述任一项所述的连接权限控制方法。
在本申请实施的又一方面,还提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据上述任一项所述的连接权限控制方法。
本申请实施例提供的连接权限控制方法、装置、电子设备及存储介质,通过响应于客户端发送的针对容器集群的访问请求,在建立与容器集群的后台系统的连接之前,获取客户端的互联网协议地址,调用预先加载的地址写入模块,将互联网协议地址写入目标协议层地址选项内,在目标协议层地址选项内添加互联网协议地址对应的地址访问策略,在地址访问策略为允许访问策略的情况下,调用预置跟踪插件对互联网协议地址进行跟踪,得到客户端访问的容器集群内的目标容器,及客户端与目标容器之间的交互数据信息,根据交互数据信息和预置流控规则,对客户端与容器集群之间的连接权限进行控制。本申请实施例通过将访问容器集群的客户端的互联网协议地址写入协议层地址选项内,调用预置跟踪插件即可以实现对源真实IP的跟踪,从而可以达到针对性的进行出/入向流量控制和监控,增加了网络的可监测性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本申请实施例提供的一种连接权限控制方法的步骤流程图;
图2为本申请实施例提供的一种地址写入模块启动方法的步骤流程图;
图3为本申请实施例提供的一种地址写入流程的示意图;
图4为本申请实施例提供的一种地址访问策略添加方法的步骤流程图;
图5为本申请实施例提供的一种网络连接断开方法的步骤流程图;
图6为本申请实施例提供的一种交互数据信息获取方法的步骤流程图;
图7为本申请实施例提供的一种预置流控规则加载方法的步骤流程;
图8为本申请实施例提供的一种连接断开方法的步骤流程图;
图9为本申请实施例提供的一种连接权限控制流程的示意图;
图10为本申请实施例提供的一种连接权限控制装置的结构示意图;
图11为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
参照图1,示出了本申请实施例提供的一种连接权限控制方法的步骤流程图,该连接权限控制方法可以应用于网络地址转换层,如图1所示,该连接权限控制方法可以包括以下步骤:
步骤101:响应于客户端发送的针对容器集群的访问请求,在建立与所述容器集群的后台系统的连接之前,获取所述客户端的互联网协议地址。
本申请实施例可以应用于将客户端的IP地址写入目标协议层地址选项,并调用预置跟踪插件对该IP地址进行监控及出/入向流量控制的场景中。
本申请实施例可以应用于网络地址转换层,即执行主体为网络地址转换层(如NAT(Network Address Translation,网络地址转换)等),在客户端访问容器集群时,是通过网络地址转换层访问容器集群的,该网络地址转换层可以将客户端的IP转换为网络地址转换层拥有的合法的公共IP地址,以该公共IP地址访问容器集群,此时,在访问过程中,该容器集群的后台系统就无法获取到客户端的真实IP地址。从而导致后台系统无法针对性对访问容器集群的客户端进行出/入向的流量控制和监控,丢失了真实的流量拓扑。因此,就需要获取客户端的真实IP地址,以便于对访问容器集群的客户端进行针对性的监控和管理。
在实际应用中,在客户端访问容器集群时,会通过网络地址转换层向容器集群发送访问请求,在访问请求中携带有客户端的IP地址。
网络地址转换层会拦截客户端发送的访问请求,并在与容器集群的后台系统建立连接之前,对拦截的访问请求进行解析,以得到客户端的IP地址(即互联网协议地址)。
在获取到客户端的互联网协议地址之后,执行步骤102。
步骤102:调用预先加载的地址写入模块,将所述互联网协议地址写入目标协议层地址选项内。
地址写入模块是指在网络地址转换层内预先加载并启动的,用于将IP地址写入协议层地址选项内的模块。在本示例中,地址写入模块可以为TOA(TCP(TransmissionControl Protocol,传输控制协议)Option Address,TCP选项地址)模块,也可以为UOA(UDP(User Datagram Protocol,用户数据报协议)Option Address,UDP选项地址)模块。
在具体实现中,TOA属于4层转发系统的一个功能模块,缺省情况下服务经过4层转发系统,容器源站查看到的请求IP为NAT的回源地址,TOA的功能就是让真实容器源站获取访问者的真实IP地址。相似的,UOA也可以实现让真实容器源站获取访问真的真实IP地址。
对于地址写入模块的加载及启动过程可以结合图2进行如下详细描述。
参照图2,示出了本申请实施例提供的一种地址写入模块启动方法的步骤流程图,如图2所示,该地址写入模块启动方法可以包括:步骤201、步骤202和步骤203。
步骤201:编译预设脚本,生成所述地址写入模块。
在本实施例中,在网络地址转换层加载地址写入模块时,可以编译预设脚本以生成地址写入模块。源码构建脚本示例如下:
git clone https://github.com/Huawei/TCP_option_address.git
cd src
Make
在编译预设脚本生成地址写入模块之后,执行步骤202。
步骤202:在内核中加载所述地址写入模块。
在生成地址写入模块之后,可以在内核中加载该地址写入模块。在本示例中,地址写入模块类似于一个软件,在编译得到地址写入模块之后,可以在网络地址转换层的内核中安装该地址写入模块,以实现地址写入模块的加载流程。如图3所示,网络地址转换层部署于LVS(Linux Virtual Server,Linux虚拟服务器)下,在网络地址转换层内预先加载有地址写入模块,在网络地址转换层获取到客户端发送的针对容器集群的访问请求之后,可以对该访问请求进行解析,得到客户端的IP地址,进而调用地址写入模块将客户端的IP地址写入目标协议层地址选项内。
在内核中加载地址写入模块之后,执行步骤203。
步骤203:在接收到所述客户端的访问请求之后,启动所述地址写入模块。
在内核中加载该地址写入模块之后,在默认情况下,该地址写入模块处于休眠状态,在接收到客户端的访问请求之后,则可以启动该地址写入模块,以执行互联网协议地址的写入流程。
本申请实施例通过预先在内核中加载地址写入模块,可以便于将后续的客户端的IP地址写入协议层地址选项内,提高IP地址的写入效率。
目标协议层地址选项是指协议层内用于保存客户端IP地址的选项。
在网络地址转换层获取到访问容器集群的客户端的IP地址之后,可以基于预先加载的地址写入模块将IP地址写入目标协议层地址选项内。具体地,可以分为以下两种情况:
1、在地址写入模块为传输控制协议对应的地址写入模块(即TOA模块)时,则可以基于TOA模块将客户端的IP地址写入TCP的地址选项内。
2、在地址写入模块为用户数据报协议对应的地址写入模块(即UOA模块)时,则可以基于UOA模块将客户端的IP地址写入UDP的地址选项内。
本申请实施例通过地址写入模块将访问服务器集群的客户端的IP地址写入目标协议层地址选项内,即可以由后台系统获取到访问客户端的真实IP地址,可以针对性的进行出/入向的流量控制和监控。
在调用预先加载的地址写入模块将互联网协议地址写入目标协议层地址选项内之后,执行步骤103。
步骤103:在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略。
在将客户端的IP地址写入目标协议层地址选项内之后,可以在目标协议层地址选项内添加该IP地址对应的地址访问策略。
在本示例中,地址访问策略可以包括:禁止访问策略和允许访问策略。在获取到客户端的IP地址之后,可以先判断该IP地址是否处于地址黑名单内,若处于地址黑名单内,则为该IP地址添加禁止访问策略,否则为该IP地址添加允许访问策略。对于添加地址访问策略的过程可以结合图4进行如下详细描述。
参照图4,示出了本申请实施例提供的一种地址访问策略添加方法的步骤流程图,如图4所示,该地址访问策略添加方法可以包括:步骤401、步骤402和步骤403。
步骤401:判断所述互联网协议地址是否处于地址黑名单内。
在本实施例中,地址黑名单是指预先创建的用于添加非法IP地址的名单,在地址黑名单内包含有众多的非法IP地址。
在获取到访问容器集群的客户端的IP地址之后,可以判断客户端的IP地址是否处于地址黑名单内,即判断客户端是否为非法客户端。
步骤402:在所述目标协议层地址选项内添加所述互联网协议地址对应的禁止访问策略。
在确定客户端的IP地址处于地址黑名单内的情况下,则表示该客户端为非法客户端,此时,可以在目标协议层地址选项内添加该IP地址对应的禁止访问策略,即禁止客户端访问容器集群。
步骤403:在所述目标协议层地址选项内添加所述互联网协议地址对应的允许访问策略。
在确定客户端的IP地址未处于地址黑名单内的情况下,则表示该客户端为正常客户端,此时,可以在目标协议层地址选项内添加该IP地址对应的允许访问策略,即允许客户端访问容器集群。
本申请实施例通过为客户端的IP地址添加相应的地址访问策略,可以避免非法客户端访问容器集群,造成网络风险。
在本示例中,若在目标协议层地址选项内为IP地址添加的地址访问策略为禁止访问策略,则可以断开客户端与后台系统之间的网络连接,否则建立客户端与后台系统之间的网络连接,具体地,可以结合图5进行如下详细描述。
参照图5,示出了本申请实施例提供的一种网络连接断开方法的步骤流程图,如图5所示,该网络连接断开方法可以包括:步骤501、步骤502和步骤503。
步骤501:在携带所述目标协议层地址选项访问所述后台系统的应用层之前,解析所述目标协议层地址选项,得到解析结果。
在本实施例中,在目标协议层地址选项内添加访问客户端的IP地址对应的地址访问策略之后,可以由网络转换层携带目标协议层地址选项进行后续的访问流程。
在网络地址转换层携带目标协议层地址选项访问后台系统的应用层之前,可以解析目标协议层地址选项,得到解析结果。
在网络地址转换层与后台系统的应用层之间设置有解析层(如Kubernates等),在网络地址转换层携带目标协议层地址选项访问后台系统的应用层之前,可以通过该解析层解析目标协议层地址选项,以得到解析结果,该解析结果中即包含有互联网协议地址对应的地址访问策略。
在解析目标协议层地址选项得到解析结果之后,执行步骤502,或者执行步骤503。
步骤502:在所述解析结果指示所述互联网协议地址的访问策略为禁止访问策略的情况下,断开所述客户端与所述后台系统之间的网络连接。
在得到的解析结果指示客户端的IP地址的访问策略为禁止访问策略的情况下,则断开客户端与后台系统之间的网络连接,以避免该客户端访问服务器集群,造成网络风险。
步骤503:在所述解析结果指示互联网协议地址的访问策略为允许访问策略的情况下,建立所述客户端与所述后台系统之间的网络连接。
在得到的解析结果指示客户端的IP地址的访问策略为允许访问策略的情况下,则可以建立客户端与后台系统之间的网络连接,以实现客户端UI容器集群之间的数据交互。
步骤104:在所述地址访问策略为允许访问策略的情况下,调用预置跟踪插件对所述互联网协议地址进行跟踪,得到所述客户端访问的所述容器集群内的目标容器,及所述客户端与所述目标容器之间的交互数据信息。
预置跟踪插件是指用于对客户端的IP地址进行跟踪的插件,在本示例中,容器集群可以为Kubernates(简称K8s)集群,在K8s集群内设置有CNI插件(容器网络接口)以及高性能的内核可编程接口(eBPF),CNI插件通过eBPF可以追踪客户端的IP地址的连接,以及客户端与K8s集群内某个容器之间互发的数据包。
目标容器是指容器集群内的客户端访问的容器。
交互数据信息是指客户端与目标容器之间交互的数据信息,如客户端从目标容器下载的数据信息、客户端向目标容器发送的数据信息等。
在目标协议层地址选项内添加客户端的IP地址的地址访问策略之后,若客户端的IP地址的地址访问策略为允许访问策略,则可以调用预置跟踪插件对客户端的IP地址进行跟踪,以得到客户端访问的容器集群内的目标容器,以及客户端与目标容器之间的交互数据信息。
在本实施例中,Kubernetes容器集群内每个容器(即Pod)的IP地址是动态变化的,在客户端访问目标Pod时,可以调用预置跟踪插件对客户端的IP地址进行跟踪的过程,每隔预设时长获取一次目标容器的容器IP,以获取客户端与目标Pod之间的数据交互信息。对于该过程可以结合图6进行如下详细描述。
参照图6,示出了本申请实施例提供的一种交互数据信息获取方法的步骤流程图,如图6所示,该数据交互信息获取方法可以包括:步骤601、步骤602、步骤603和步骤604。
步骤601:调用所述预置跟踪插件获取所述客户端访问的所述目标容器。
在本实施例中,在客户端访问容器集群时,可以调用预置跟踪插件获取客户端访问的目标容器,即调用预置跟踪插件对客户端的IP地址进行跟踪,以确定该IP地址所访问的目标容器。
在调用预置跟踪插件获取到客户端访问的目标容器之后,之后,执行步骤602。
步骤602:获取所述目标容器所属目标子容器集群的目标集群标识;所述目标子容器集群是指所述容器集群内划分的多个子容器集群中的子容器集群。
在本示例中,容器集群可以预先划分为多个子容器集群,例如,将容器集群划分为三个子容器集群,分别为子容器集群1、子容器集群2和子容器集群3等。
在具体实现中,容器集群的划分方式可以为根据命名空间进行划分,例如,容器集群内每个容器是按照设定顺序排布的,如容器1、容器2、容器3、...容器n(n为正整数),可以每3个容器划分为一个子容器集群,即容器1、容器2、容器3行成一个子容器集群,容器4、容器5和容器6行成一个子容器集群,依次类推等。
可以理解地,上述示例仅是为了更好地理解本申请实施例的技术方案而列举的示例,不作为对本实施例的唯一限制。
目标子容器集群是指目标容器所属的子容器集群。
目标集群标识是指目标子容器集群对应的标识,在本示例中,目标集群标识可以为数字标识,也可以为字符标识等,每个子容器集群的标识均是唯一的。
目标子容器集群是指容器集群内划分的多个子容器集群中的子容器集群。
在调用预置跟踪插件获取到客户端访问的目标容器之后,可以获取目标容器所属目标子容器集群的目标集群标识。
步骤603:每隔预设时长获取一次所述目标容器的容器IP。
由于容器集群内每个容器的IP是动态变化的,在调用预置跟踪插件获取到客户端访问的目标容器之后,可以每隔预设时长(如3分钟、1分钟等)获取一次目标容器的容器IP,以获取目标容器的动态变化的容器IP。
步骤604:调用所述预置跟踪插件对所述目标集群标识、所述容器IP和互联网协议地址进行跟踪,得到所述客户端与所述目标容器之间的交互数据信息。
在获取到容器IP和目标集群标识之后,可以调用预置跟踪插件对目标集群标识、容器IP和客户端的IP地址进行跟踪,以得到客户端与目标容器之间的交互数据信息。
本申请实施例针对动态变化的目标容器的容器IP,可以结合目标容器的容器IP、目标容器所属的目标子容器集群的标识和客户端的IP地址进行跟踪,以实时获取客户端与目标容器交互数据信息。
在得到客户端访问的所述容器集群内的目标容器,及客户端与目标容器之间的交互数据信息之后,执行步骤105。
步骤105:根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制。
预置流控规则是指预先加载于网络地址转换层的内核中的用于进行出/入向流量控制的规则。
预置流控规则可以是根据后台系统配置的流量控制策略生成的规则,对于预置流控规则的生成过程可以结合图7进行如下详细描述。
参照图7,示出了本申请实施例提供的一种预置流控规则加载方法的步骤流程图,如图7所示,该预置流控规则加载方法可以包括:步骤701、步骤702和步骤703。
步骤701:获取所述后台系统配置的流量控制策略。
在本实施例中,流量控制策略是指由后台系统配置的用于对客户端的出/入向流量进行控制的策略。在本示例中,流量控制策略可以为在客户端发送攻击行为信息时禁止客户端访问的策略,也可以为客户端从目标容器内频繁调用文件信息时禁止客户端访问的策略等。
在具体实现中,为了在网络地址转换层实现对客户端进行流控管理,可以预先在网络地址转换层加载流控规则,首先,可以从容器集群对应的后台系统获取配置好的流量控制策略。具体地,可以由网络地址转换层生成流量控制策略的获取请求,并将该获取请求发送给后台系统。后台系统响应该获取请求,将配置的流量控制策略返回给网络地址转换层。
在实际应用中,在网络地址转换层可以设置NetworkPolicyController(即控制策略监听器),以监听容器集群内动态部署的流量控制策略。
在获取到后台系统配置的流量控制策略之后,执行步骤702。
步骤702:对所述流量控制策略进行编译处理,生成所述预置流控规则。
在获取到后台系统配置的流量控制策略之后,可以对流量控制策略进行编译处理,以生成预置流控规则。具体地,从后台系统获取的流量控制策略可能是文本策略,也可能是与网络地址转换层的本地源码不匹配的代码,此时,需要对获取的流量控制策略进行编译处理,以符合本地规范。在经过对流量控制策略进行编译处理之后,即可以生成预置流控规则。
在对流量控制策略进行编译处理生成预置流控规则之后,执行步骤703。
步骤703:在内核中加载所述预置流控规则,以启用所述预置流控规则。
在对流量控制策略进行编译处理生成预置流控规则之后,可以在内核中加载该预置流控规则,以启动该预置流控规则,进行客户端的出/入向流量的管控。
在获取到客户端与目标容器之间的交互数据信息之后,可以根据交互数据信息和预置流控规则对客户端与容器集群之间的连接权限进行控制。具体地,可以根据预置流控规则判断交互数据信息是否为攻击行为信息,若是,则断开客户端与容器集群之间的连接,以实现对容器集群的保护。对于该过程可以结合图8进行如下详细描述。
参照图8,示出了本申请实施例提供的一种连接断开方法的步骤流程图,如图8所示,该连接断开方法可以包括:步骤801和步骤802。
步骤801:根据所述预置流控规则,判断所述交互数据信息是否为攻击行为信息。
在本实施例中,在获取到客户端与目标容器之间的交互数据信息之后,可以根据预置流控规则判断交互数据信息是否为攻击行为信息。例如,在预置流控规则为客户端向容器发送恶意信息(如病毒信息、黄色信息、侮辱性信息等)的规则时,可以判断交互数据信息中是否包含恶意信息,若是,则判定交互数据信息为攻击行为信息等。
步骤802:修改与所述客户端对应的防火墙配置信息,以断开所述客户端与所述容器集群之间的连接。
在根据预置流控规则判定客户端与目标容器之间的交互数据信息非攻击行为信息的情况下,无需进行管理,继续保持客户端与容器集群之间的网络连接即可。
而在根据预置流控规则判定客户端与目标容器之间的交互数据信息为攻击行为信息的情况下,则可以修改与客户端对应的防火墙配置信息,以断开客户端与容器集群之间的连接。例如,可以通过修改宿主机的iptables(配置有状态的防火墙)或ipvs(IPVirtual Server,IP虚拟服务器),以实现对容器集群进行安全管控,同时能够达到针对性的进行出/入向流量控制和监控,例如,在确定客户端频繁向目标容器发送攻击行为信息时,则拒绝该IP向容器集群的入向流量,即拒绝该客户端向容器集群发送信息。而在确定客户端频繁从目标容器下载隐私文件时,则拒绝该IP向容器集群的出向流量,即拒绝该客户端从容器集群下载文件等。
对于上述过程可以如图9所示,在客户端通过网络地址转换层访问容器集群时,网络地址转换层可以拦截客户端发送的针对容器集群的访问请求,并解析得到客户端的IP:xx.xx.xx,然后调用地址写入模块将该IP:xx.xx.xx写入到目标地址转换层。在该客户端并非是非法客户端时,则调用预置跟踪插件对对该IP进行跟踪。在网络地址转换层的内核中还加载有预置流控规则,该预置流控规则的加载过程可以为:在容器集群内由业务人员编写流量控制策略,在网络地址转换层获取到该流量控制策略之后,可以对该流量控制策略进行编译,生成预置流控规则,进而可以将预置流控规则加载至内核中。在调用预置跟踪插件对客户端的IP进行跟踪的过程,若根据预置流控规则判定客户端与后端Pod(即本示例中的目标容器)的交互信息存在攻击行为信息时,则拒绝该IP的入向流量,即拒绝客户端访问容器集群。
本申请实施例提供的连接权限控制方法,通过响应于客户端发送的针对容器集群的访问请求,在建立与容器集群的后台系统的连接之前,获取客户端的互联网协议地址,调用预先加载的地址写入模块,将互联网协议地址写入目标协议层地址选项内,在目标协议层地址选项内添加互联网协议地址对应的地址访问策略,在地址访问策略为允许访问策略的情况下,调用预置跟踪插件对互联网协议地址进行跟踪,得到客户端访问的容器集群内的目标容器,及客户端与目标容器之间的交互数据信息,根据交互数据信息和预置流控规则,对客户端与容器集群之间的连接权限进行控制。本申请实施例通过将访问容器集群的客户端的互联网协议地址写入协议层地址选项内,调用预置跟踪插件即可以实现对源真实IP的跟踪,从而可以达到针对性的进行出/入向流量控制和监控,增加了网络的可监测性。
参照图10,示出了本申请实施例提供的一种连接权限控制装置的结构示意图,该连接权限控制装置可以应用于网络地址转换层,如图10所示,该连接权限控制装置1000可以包括以下模块:
互联网地址获取模块1010,用于响应于客户端发送的针对容器集群的访问请求,在建立与所述容器集群的后台系统的连接之前,获取所述客户端的互联网协议地址;
互联网地址写入模块1020,用于调用预先加载的地址写入模块,将所述互联网协议地址写入目标协议层地址选项内;
地址访问策略添加模块1030,用于在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略;
交互数据信息获取模块1040,用于在所述地址访问策略为允许访问策略的情况下,调用预置跟踪插件对所述互联网协议地址进行跟踪,得到所述客户端访问的所述容器集群内的目标容器,及所述客户端与所述目标容器之间的交互数据信息;
连接权限控制模块1050,用于根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制。
可选地,所述装置还包括:
地址写入生成模块,用于编译预设脚本,生成所述地址写入模块;
地址写入加载模块,用于在内核中加载所述地址写入模块;
地址写入启动模块,用于在接收到所述客户端的访问请求之后,启动所述地址写入模块。
可选地,所述互联网地址写入模块1020包括:
第一地址写入单元,用于在所述地址写入模块为传输控制协议对应的地址写入模块的情况下,基于所述地址写入模块将所述互联网协议地址写入所述传输控制协议的地址选项内;
第二地址写入单元,用于在所述地址写入模块为用户数据报协议对应的地址写入模块的情况下,基于所述地址写入模块将所述互联网协议地址写入所述用户数据报协议的地址选项内。
可选地,所述地址访问策略添加模块1030包括:
地址黑名单判断单元,用于判断所述互联网协议地址是否处于地址黑名单内;
禁止访问策略添加单元,用于在确定所述互联网协议地址处于地址黑名单内的情况下,在所述目标协议层地址选项内添加所述互联网协议地址对应的禁止访问策略;
允许访问策略添加单元,用于在确定所述互联网协议地址未处于地址黑名单内的情况下,在所述目标协议层地址选项内添加所述互联网协议地址对应的允许访问策略。
可选地,所述装置还包括:
解析结果获取模块,用于在携带所述目标协议层地址选项访问所述后台系统的应用层之前,解析所述目标协议层地址选项,得到解析结果;
网络连接断开模块,用于在所述解析结果指示所述互联网协议地址的访问策略为禁止访问策略的情况下,断开所述客户端与所述后台系统之间的网络连接;
网络连接建立模块,用于在所述解析结果指示互联网协议地址的访问策略为允许访问策略的情况下,建立所述客户端与所述后台系统之间的网络连接。
可选地,所述连接权限控制模块1050包括:
攻击行为判断单元,用于根据所述预置流控规则,判断所述交互数据信息是否为攻击行为信息;
防火墙配置修改单元,用于在所述交互数据信息为攻击行为信息的情况下,修改与所述客户端对应的防火墙配置信息,以断开所述客户端与所述容器集群之间的连接。
可选地,所述装置还包括:
流量控制策略获取模块,用于获取所述后台系统配置的流量控制策略;
预置流控规则生成模块,用于对所述流量控制策略进行编译处理,生成所述预置流控规则;
预置流控规则加载模块,用于在内核中加载所述预置流控规则,以启用所述预置流控规则。
可选地,所述交互数据信息获取模块1040包括:
目标容器获取单元,用于调用所述预置跟踪插件获取所述客户端访问的所述目标容器;
目标集群标识获取单元,用于获取所述目标容器所属目标子容器集群的目标集群标识;所述目标子容器集群是指所述容器集群内划分的多个子容器集群中的子容器集群;
容器IP获取单元,用于每隔预设时长获取一次所述目标容器的容器IP;
交互数据信息获取单元,用于调用所述预置跟踪插件对所述目标集群标识、所述容器IP和互联网协议地址进行跟踪,得到所述客户端与所述目标容器之间的交互数据信息。
本申请实施例提供的连接权限控制装置,通过响应于客户端发送的针对容器集群的访问请求,在建立与容器集群的后台系统的连接之前,获取客户端的互联网协议地址,调用预先加载的地址写入模块,将互联网协议地址写入目标协议层地址选项内,在目标协议层地址选项内添加互联网协议地址对应的地址访问策略,在地址访问策略为允许访问策略的情况下,调用预置跟踪插件对互联网协议地址进行跟踪,得到客户端访问的容器集群内的目标容器,及客户端与目标容器之间的交互数据信息,根据交互数据信息和预置流控规则,对客户端与容器集群之间的连接权限进行控制。本申请实施例通过将访问容器集群的客户端的互联网协议地址写入协议层地址选项内,调用预置跟踪插件即可以实现对源真实IP的跟踪,从而可以达到针对性的进行出/入向流量控制和监控,增加了网络的可监测性。
本申请实施例还提供了一种电子设备,如图11所示,包括处理器1101、通信接口1102、存储器1103和通信总线1104,其中,处理器1101,通信接口1102,存储器1103通过通信总线1104完成相互间的通信,
存储器1103,用于存放计算机程序;
处理器1101,用于执行存储器1103上所存放的程序时,实现如下步骤:
响应于客户端发送的针对容器集群的访问请求,在建立与所述容器集群的后台系统的连接之前,获取所述客户端的互联网协议地址;
调用预先加载的地址写入模块,将所述互联网协议地址写入目标协议层地址选项内;
在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略;
在所述地址访问策略为允许访问策略的情况下,调用预置跟踪插件对所述互联网协议地址进行跟踪,得到所述客户端访问的所述容器集群内的目标容器,及所述客户端与所述目标容器之间的交互数据信息;
根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制。
可选地,在所述获取所述客户端的互联网协议地址之前,还包括:
编译预设脚本,生成所述地址写入模块;
在内核中加载所述地址写入模块;
在接收到所述客户端的访问请求之后,启动所述地址写入模块。
可选地,所述调用预先加载的地址写入模块,将所述互联网协议地址写入协议层地址选项内,包括:
在所述地址写入模块为传输控制协议对应的地址写入模块的情况下,基于所述地址写入模块将所述互联网协议地址写入所述传输控制协议的地址选项内;
在所述地址写入模块为用户数据报协议对应的地址写入模块的情况下,基于所述地址写入模块将所述互联网协议地址写入所述用户数据报协议的地址选项内。
可选地,所述在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略,包括:
判断所述互联网协议地址是否处于地址黑名单内;
在确定所述互联网协议地址处于地址黑名单内的情况下,在所述目标协议层地址选项内添加所述互联网协议地址对应的禁止访问策略;
在确定所述互联网协议地址未处于地址黑名单内的情况下,在所述目标协议层地址选项内添加所述互联网协议地址对应的允许访问策略。
可选地,在所述在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略之后,还包括:
在携带所述目标协议层地址选项访问所述后台系统的应用层之前,解析所述目标协议层地址选项,得到解析结果;
在所述解析结果指示所述互联网协议地址的访问策略为禁止访问策略的情况下,断开所述客户端与所述后台系统之间的网络连接;
在所述解析结果指示互联网协议地址的访问策略为允许访问策略的情况下,建立所述客户端与所述后台系统之间的网络连接。
可选地,所述根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制,包括:
根据所述预置流控规则,判断所述交互数据信息是否为攻击行为信息;
在所述交互数据信息为攻击行为信息的情况下,修改与所述客户端对应的防火墙配置信息,以断开所述客户端与所述容器集群之间的连接。
可选地,在所述根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制之前,还包括:
获取所述后台系统配置的流量控制策略;
对所述流量控制策略进行编译处理,生成所述预置流控规则;
在内核中加载所述预置流控规则,以启用所述预置流控规则。
可选地,所述调用预置跟踪插件对所述互联网协议地址进行跟踪,得到所述客户端访问的所述容器集群内的目标容器,及所述客户端与所述目标容器之间的交互数据信息,包括:
调用所述预置跟踪插件获取所述客户端访问的所述目标容器;
获取所述目标容器所属目标子容器集群的目标集群标识;所述目标子容器集群是指所述容器集群内划分的多个子容器集群中的子容器集群;
每隔预设时长获取一次所述目标容器的容器IP;
调用所述预置跟踪插件对所述目标集群标识、所述容器IP和互联网协议地址进行跟踪,得到所述客户端与所述目标容器之间的交互数据信息。
上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的连接权限控制方法。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的连接权限控制方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (12)
1.一种连接权限控制方法,应用于网络地址转换层,其特征在于,包括:
响应于客户端发送的针对容器集群的访问请求,在建立与所述容器集群的后台系统的连接之前,获取所述客户端的互联网协议地址;
调用预先加载的地址写入模块,将所述互联网协议地址写入目标协议层地址选项内;
在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略;
在所述地址访问策略为允许访问策略的情况下,调用预置跟踪插件对所述互联网协议地址进行跟踪,得到所述客户端访问的所述容器集群内的目标容器,及所述客户端与所述目标容器之间的交互数据信息;
根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制。
2.根据权利要求1所述的方法,其特征在于,在所述获取所述客户端的互联网协议地址之前,还包括:
编译预设脚本,生成所述地址写入模块;
在内核中加载所述地址写入模块;
在接收到所述客户端的访问请求之后,启动所述地址写入模块。
3.根据权利要求1所述的方法,其特征在于,所述调用预先加载的地址写入模块,将所述互联网协议地址写入协议层地址选项内,包括:
在所述地址写入模块为传输控制协议对应的地址写入模块的情况下,基于所述地址写入模块将所述互联网协议地址写入所述传输控制协议的地址选项内;
在所述地址写入模块为用户数据报协议对应的地址写入模块的情况下,基于所述地址写入模块将所述互联网协议地址写入所述用户数据报协议的地址选项内。
4.根据权利要求1所述的方法,其特征在于,所述在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略,包括:
判断所述互联网协议地址是否处于地址黑名单内;
在确定所述互联网协议地址处于地址黑名单内的情况下,在所述目标协议层地址选项内添加所述互联网协议地址对应的禁止访问策略;
在确定所述互联网协议地址未处于地址黑名单内的情况下,在所述目标协议层地址选项内添加所述互联网协议地址对应的允许访问策略。
5.根据权利要求1所述的方法,其特征在于,在所述在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略之后,还包括:
在携带所述目标协议层地址选项访问所述后台系统的应用层之前,解析所述目标协议层地址选项,得到解析结果;
在所述解析结果指示所述互联网协议地址的访问策略为禁止访问策略的情况下,断开所述客户端与所述后台系统之间的网络连接;
在所述解析结果指示互联网协议地址的访问策略为允许访问策略的情况下,建立所述客户端与所述后台系统之间的网络连接。
6.根据权利要求1所述的方法,其特征在于,所述根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制,包括:
根据所述预置流控规则,判断所述交互数据信息是否为攻击行为信息;
在所述交互数据信息为攻击行为信息的情况下,修改与所述客户端对应的防火墙配置信息,以断开所述客户端与所述容器集群之间的连接。
7.根据权利要求1所述的方法,其特征在于,在所述根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制之前,还包括:
获取所述后台系统配置的流量控制策略;
对所述流量控制策略进行编译处理,生成所述预置流控规则;
在内核中加载所述预置流控规则,以启用所述预置流控规则。
8.根据权利要求1所述的方法,其特征在于,所述调用预置跟踪插件对所述互联网协议地址进行跟踪,得到所述客户端访问的所述容器集群内的目标容器,及所述客户端与所述目标容器之间的交互数据信息,包括:
调用所述预置跟踪插件获取所述客户端访问的所述目标容器;
获取所述目标容器所属目标子容器集群的目标集群标识;所述目标子容器集群是指所述容器集群内划分的多个子容器集群中的子容器集群;
每隔预设时长获取一次所述目标容器的容器IP;
调用所述预置跟踪插件对所述目标集群标识、所述容器IP和互联网协议地址进行跟踪,得到所述客户端与所述目标容器之间的交互数据信息。
9.一种连接权限控制装置,应用于网络地址转换层,其特征在于,包括:
互联网地址获取模块,用于响应于客户端发送的针对容器集群的访问请求,在建立与所述容器集群的后台系统的连接之前,获取所述客户端的互联网协议地址;
互联网地址写入模块,用于调用预先加载的地址写入模块,将所述互联网协议地址写入目标协议层地址选项内;
地址访问策略添加模块,用于在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略;
交互数据信息获取模块,用于在所述地址访问策略为允许访问策略的情况下,调用预置跟踪插件对所述互联网协议地址进行跟踪,得到所述客户端访问的所述容器集群内的目标容器,及所述客户端与所述目标容器之间的交互数据信息;
连接权限控制模块,用于根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制。
10.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-8中任一项所述的连接权限控制方法。
11.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行权利要求1-8中任一项所述的连接权限控制方法。
12.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-8中任一项所述的连接权限控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210753945.5A CN115037551B (zh) | 2022-06-29 | 2022-06-29 | 连接权限控制方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210753945.5A CN115037551B (zh) | 2022-06-29 | 2022-06-29 | 连接权限控制方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115037551A CN115037551A (zh) | 2022-09-09 |
| CN115037551B true CN115037551B (zh) | 2024-04-26 |
Family
ID=83127551
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210753945.5A Active CN115037551B (zh) | 2022-06-29 | 2022-06-29 | 连接权限控制方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115037551B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115766858A (zh) * | 2022-11-11 | 2023-03-07 | 中国工商银行股份有限公司 | 流量处理方法、装置、计算机可读存储介质及电子设备 |
| CN115801569B (zh) * | 2023-02-07 | 2023-04-25 | 苏州浪潮智能科技有限公司 | 一种访问规则部署方法、装置、设备、介质及云平台 |
| CN116383127B (zh) * | 2023-06-01 | 2023-08-18 | 苏州浪潮智能科技有限公司 | 节点间通信方法、装置、电子设备及存储介质 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103259735A (zh) * | 2013-05-15 | 2013-08-21 | 重庆邮电大学 | 一种基于NetFPGA的可编程虚拟化路由器的通信方法 |
| CN103297552A (zh) * | 2012-03-02 | 2013-09-11 | 百度在线网络技术(北京)有限公司 | 传递客户端IPv4地址及端口至后端服务器的方法及装置 |
| CN103458060A (zh) * | 2012-06-05 | 2013-12-18 | 中兴通讯股份有限公司 | 一种多级网络地址转换下主机标识符的传递方法及装置 |
| WO2015176445A1 (zh) * | 2014-05-21 | 2015-11-26 | 成都达信通通讯设备有限公司 | 移动终端预设联网地址防火墙隔离应用系统 |
| CN105554065A (zh) * | 2015-12-03 | 2016-05-04 | 华为技术有限公司 | 处理报文的方法、转换单元和应用单元 |
| WO2017001776A1 (fr) * | 2015-07-01 | 2017-01-05 | Orange | Procede d'optimisation de la charge d'un concentrateur de connexions reseau |
| CN108989480A (zh) * | 2018-07-26 | 2018-12-11 | 杭州云缔盟科技有限公司 | 一种在服务器获取客户端地址的方法 |
| CN109347814A (zh) * | 2018-10-05 | 2019-02-15 | 李斌 | 一种基于Kubernetes构建的容器云安全防护方法与系统 |
| CN112035402A (zh) * | 2019-06-04 | 2020-12-04 | 顺丰科技有限公司 | 一种文件存储方法、装置及终端设备 |
| CN112468518A (zh) * | 2021-01-28 | 2021-03-09 | 腾讯科技(深圳)有限公司 | 访问数据处理方法、装置、存储介质及计算机设备 |
| WO2021078281A1 (zh) * | 2019-10-25 | 2021-04-29 | 新华三信息安全技术有限公司 | 报文转发及域名地址查询 |
| CN113691640A (zh) * | 2020-05-19 | 2021-11-23 | 阿里巴巴集团控股有限公司 | 通信方法、装置、电子设备及计算机可读存储介质 |
| CN113709264A (zh) * | 2020-05-20 | 2021-11-26 | 阿里巴巴集团控股有限公司 | 一种地址获取方法、设备、系统及存储介质 |
| CN113973110A (zh) * | 2021-10-25 | 2022-01-25 | 北京奇艺世纪科技有限公司 | 一种报文生成方法、装置及电子设备 |
| CN114390056A (zh) * | 2022-01-11 | 2022-04-22 | 京东科技信息技术有限公司 | 负载均衡方法、装置、电子设备及存储介质 |
-
2022
- 2022-06-29 CN CN202210753945.5A patent/CN115037551B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297552A (zh) * | 2012-03-02 | 2013-09-11 | 百度在线网络技术(北京)有限公司 | 传递客户端IPv4地址及端口至后端服务器的方法及装置 |
| CN103458060A (zh) * | 2012-06-05 | 2013-12-18 | 中兴通讯股份有限公司 | 一种多级网络地址转换下主机标识符的传递方法及装置 |
| CN103259735A (zh) * | 2013-05-15 | 2013-08-21 | 重庆邮电大学 | 一种基于NetFPGA的可编程虚拟化路由器的通信方法 |
| WO2015176445A1 (zh) * | 2014-05-21 | 2015-11-26 | 成都达信通通讯设备有限公司 | 移动终端预设联网地址防火墙隔离应用系统 |
| WO2017001776A1 (fr) * | 2015-07-01 | 2017-01-05 | Orange | Procede d'optimisation de la charge d'un concentrateur de connexions reseau |
| CN105554065A (zh) * | 2015-12-03 | 2016-05-04 | 华为技术有限公司 | 处理报文的方法、转换单元和应用单元 |
| CN108989480A (zh) * | 2018-07-26 | 2018-12-11 | 杭州云缔盟科技有限公司 | 一种在服务器获取客户端地址的方法 |
| CN109347814A (zh) * | 2018-10-05 | 2019-02-15 | 李斌 | 一种基于Kubernetes构建的容器云安全防护方法与系统 |
| CN112035402A (zh) * | 2019-06-04 | 2020-12-04 | 顺丰科技有限公司 | 一种文件存储方法、装置及终端设备 |
| WO2021078281A1 (zh) * | 2019-10-25 | 2021-04-29 | 新华三信息安全技术有限公司 | 报文转发及域名地址查询 |
| CN113691640A (zh) * | 2020-05-19 | 2021-11-23 | 阿里巴巴集团控股有限公司 | 通信方法、装置、电子设备及计算机可读存储介质 |
| CN113709264A (zh) * | 2020-05-20 | 2021-11-26 | 阿里巴巴集团控股有限公司 | 一种地址获取方法、设备、系统及存储介质 |
| CN112468518A (zh) * | 2021-01-28 | 2021-03-09 | 腾讯科技(深圳)有限公司 | 访问数据处理方法、装置、存储介质及计算机设备 |
| CN113973110A (zh) * | 2021-10-25 | 2022-01-25 | 北京奇艺世纪科技有限公司 | 一种报文生成方法、装置及电子设备 |
| CN114390056A (zh) * | 2022-01-11 | 2022-04-22 | 京东科技信息技术有限公司 | 负载均衡方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115037551A (zh) | 2022-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115037551B (zh) | 连接权限控制方法、装置、电子设备及存储介质 | |
| US11757941B2 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
| EP3716108A1 (en) | Cloud-based web content processing system providing client threat isolation and data integrity | |
| RU2755880C2 (ru) | Аппаратная виртуализированная изоляция для обеспечения безопасности | |
| US9712624B2 (en) | Secure virtual network platform for enterprise hybrid cloud computing environments | |
| US11711399B2 (en) | Policy enforcement for secure domain name services | |
| US20220345492A1 (en) | Network intermediary with network request-response mechanism | |
| CN111885123B (zh) | 一种跨K8s目标服务访问通道的构建方法及装置 | |
| US20220345463A1 (en) | Inline proxy with synthetic request injection logic for cloud policy enforcement | |
| US20220345494A1 (en) | Cloud object security posture management | |
| US20220345493A1 (en) | Synthetic request injection for secure access service edge (sase) cloud architecture | |
| US20220345500A1 (en) | Cloud policy enforcement with synthetic request injection logic | |
| US11924165B2 (en) | Securing containerized applications | |
| US20220345490A1 (en) | Synthetic Request Injection to Retrieve Expired Metadata for Cloud Policy Enforcement | |
| CN114070577A (zh) | 基于云的安全服务的大规模本地化 | |
| Damopoulos et al. | User privacy and modern mobile services: are they on the same path? | |
| JP2023532924A (ja) | モバイルネットワークにおける制御とユーザプレーンの分離の確保 | |
| US20230198987A1 (en) | Systems and methods for controlling accessing and storing objects between on-prem data center and cloud | |
| JP2023508302A (ja) | ネットワークセキュリティ保護方法及び保護デバイス | |
| WO2022226202A1 (en) | Synthetic request injection to retrieve object metadata for cloud policy enforcement | |
| WO2022226208A1 (en) | Synthetic request injection to improve object security posture for cloud security enforcement | |
| CN115913583A (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| US11470048B1 (en) | Virtual private network environments for serverless code executions | |
| US20230422040A1 (en) | 5g lan security | |
| Nacshon et al. | Newly Discovered Route Takeover and DNS Hijacking Attacks in Openshift |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |