CN115442094A - 一种云环境下应用防火墙全生命周期管理的方法及系统 - Google Patents
一种云环境下应用防火墙全生命周期管理的方法及系统 Download PDFInfo
- Publication number
- CN115442094A CN115442094A CN202211016465.7A CN202211016465A CN115442094A CN 115442094 A CN115442094 A CN 115442094A CN 202211016465 A CN202211016465 A CN 202211016465A CN 115442094 A CN115442094 A CN 115442094A
- Authority
- CN
- China
- Prior art keywords
- cloud
- authorization
- service
- automatically
- management platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000013475 authorization Methods 0.000 claims abstract description 67
- 230000014759 maintenance of location Effects 0.000 claims abstract description 29
- 238000012544 monitoring process Methods 0.000 claims abstract description 17
- 230000004913 activation Effects 0.000 claims abstract description 7
- 238000011084 recovery Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 2
- 238000012423 maintenance Methods 0.000 abstract description 5
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 230000006378 damage Effects 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 67
- 238000010586 diagram Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及云计算技术领域,具体为一种云环境下应用防火墙全生命周期管理的方法包括以下步骤,第三方应用防火墙授权服务部署在管理区域或互联网获取;云管平台页面触发自动部署,授权获取,服务激活;云管平台提供统一、通俗、简单易懂页面进行配置、监控;云管平台根据防护资源配置自动实现流量引导;云管平台周期自动监测服务到期情况,服务到期后释放许可并将资源暂存一定保留时长,保留时长截止可自动销毁释放资源;有益效果为:本实用提出的云环境下应用防火墙全生命周期管理的方法及系统鉴于目前第三方应用防火墙的管理,包括部署、配置管理、监控、销毁,是运维人员持续进行手动配置。
Description
技术领域
本发明涉及云计算技术领域,具体为一种云环境下应用防火墙全生命周期管理的方法及系统。
背景技术
随着云计算技术的发展和快速落地,越来越多的大企业内建私有云或者建设公有云,同时对容灾、审计、安全防护等方面需求日渐明确,基础设施的数量也快速增长。
现有技术中,就安全防护需求来说,建设中用到的不同功能不同厂家产品众多,产品的管理使用因厂家而异。
但是,传统方式下使用过程中人工去操作,包括产品的部署、配置、监控分析、销毁全生命周期,叠加各厂家对产品细节的不同理解造成的概念和管理上差异,耗费的人力、时间成本是不可估量的。
发明内容
本发明的目的在于提供一种云环境下应用防火墙全生命周期管理的方法及系统,将运维人员从现有手动配置管理的繁琐工作中解放出来,无需关注第三方厂家之间的差异,仅需使用统一的云管平台可视化页面,按照云管平台的使用手册进行低门槛操作即可,本发明设计的方法会完成最大化全生命周期管理。
为实现上述目的,本发明提供如下技术方案:一种云环境下应用防火墙全生命周期管理的方法,所述云环境下应用防火墙全生命周期管理的方法包括以下步骤:
第三方应用防火墙授权服务部署在管理区域或互联网获取;
云管平台页面触发自动部署,授权获取,服务激活;
云管平台提供统一、通俗、简单易懂页面进行配置、监控;
云管平台根据防护资源配置自动实现流量引导;
云管平台周期自动监测服务到期情况,服务到期后释放许可并将资源暂存一定保留时长,保留时长截止可自动销毁释放资源。
优选的,功能授权通过互联网直接获取,将其授权服务部署在管理区域,预购授权保存在授权服务上,不存在外部网络攻击风险。
优选的,自动部署通过云管平台调用底层虚拟化平台API实现。
优选的,云管平台根据自动部署时选择的被防护资源,自动将请求流量送达应用防火墙并将应用防火墙放行的流量送达被防护资源,同时保证被防护资源返回的信息经由应用防火墙送达请求客户端,应用防火墙支持vlan、vxlan技术,流量引导支持的虚拟平台包括vmware、KVM。
优选的,云管平台周期性自动监测服务到期状况,云管平台自动将到期资源释放授权并迁移暂存于资源回收池,云管平台将保留时长截止的到期资源通过虚拟平台API自动销毁释放。
一种云环境下应用防火墙全生命周期管理的系统,所述该系统由授权部署模块、授权获取模块、配置模块、引导模块以及监测模块构成;
授权部署模块,用于第三方应用防火墙授权服务部署在管理区域或互联网获取;
授权获取模块,用于云管平台页面触发自动部署,授权获取,服务激活;
配置模块,用于云管平台提供统一、通俗、简单易懂页面进行配置、监控;
引导模块,用于云管平台根据防护资源配置自动实现流量引导;
监测模块,用于云管平台周期自动监测服务到期情况,服务到期后释放许可并将资源暂存一定保留时长,保留时长截止可自动销毁释放资源。
优选的,所述授权部署模块中,功能授权通过互联网直接获取,将其授权服务部署在管理区域,预购授权保存在授权服务上,不存在外部网络攻击风险。
优选的,所述授权获取模块中,自动部署通过云管平台调用底层虚拟化平台API实现。
优选的,所述引导模块中,云管平台根据自动部署时选择的被防护资源,自动将请求流量送达应用防火墙并将应用防火墙放行的流量送达被防护资源,同时保证被防护资源返回的信息经由应用防火墙送达请求客户端,应用防火墙支持vlan、vxlan技术,流量引导支持的虚拟平台包括vmware、KVM。
优选的,所述监测模块中,云管平台周期性自动监测服务到期状况,云管平台自动将到期资源释放授权并迁移暂存于资源回收池,云管平台将保留时长截止的到期资源通过虚拟平台API自动销毁释放。
与现有技术相比,本发明的有益效果是:
本实用提出的云环境下应用防火墙全生命周期管理的方法及系统鉴于目前第三方应用防火墙的管理,包括部署、配置管理、监控、销毁,是运维人员持续进行手动配置,本发明提供一种云环境下应用防火墙全生命周期管理方法,将运维人员从现有手动配置的繁琐工作中解放出来,他们仅需按照云管平台提供的统一页面触发按钮进行部署、配置、监控以及销毁,减轻运维人员的工作量。
附图说明
图1为本发明线下授权框图;
图2为本发明线上授权框图;
图3为应用防火墙全生命周期自动化管理的工作流程。
具体实施方式
为了使本发明的目的、技术方案进行清楚、完整地描述,及优点更加清楚明白,以下结合附图对本发明实施例进行进一步详细说明。应当理解,此处所描述的具体实施例是本发明一部分实施例,而不是全部的实施例,仅仅用以解释本发明实施例,并不用于限定本发明实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“中”、“上”、“下”、“左”、“右”、“内”、“外”、“顶”、“底”、“侧”、“竖直”、“水平”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“一”、“第一”、“第二”、“第三”、“第四”、“第五”、“第六”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
出于简明和说明的目的,实施例的原理主要通过参考例子来描述。在以下描述中,很多具体细节被提出用以提供对实施例的彻底理解。然而明显的是,对于本领域普通技术人员,这些实施例在实践中可以不限于这些具体细节。在一些实例中,没有详细地描述公知方法和结构,以避免无必要地使这些实施例变得难以理解。另外,所有实施例可以互相结合使用。
实施例一
请参阅图1至图2,本发明提供一种技术方案:一种云环境下应用防火墙全生命周期管理的方法,所述云环境下应用防火墙全生命周期管理的方法包括以下步骤:
第三方应用防火墙授权服务部署在管理区域或互联网获取;功能授权通过互联网直接获取,将其授权服务部署在管理区域,预购授权保存在授权服务上,不存在外部网络攻击风险;
云管平台页面触发自动部署,授权获取,服务激活;自动部署通过云管平台调用底层虚拟化平台API实现;
云管平台提供统一、通俗、简单易懂页面进行配置、监控;
云管平台根据防护资源配置自动实现流量引导;云管平台根据自动部署时选择的被防护资源,自动将请求流量送达应用防火墙并将应用防火墙放行的流量送达被防护资源,同时保证被防护资源返回的信息经由应用防火墙送达请求客户端,应用防火墙支持vlan、vxlan技术,流量引导支持的虚拟平台包括vmware、KVM;
云管平台周期自动监测服务到期情况,服务到期后释放许可并将资源暂存一定保留时长,保留时长截止可自动销毁释放资源;云管平台周期性自动监测服务到期状况,云管平台自动将到期资源释放授权并迁移暂存于资源回收池,云管平台将保留时长截止的到期资源通过虚拟平台API自动销毁释放。
实施例二
一种如上述权云环境下应用防火墙全生命周期管理的系统,所述该系统由授权部署模块、授权获取模块、配置模块、引导模块以及监测模块构成;
授权部署模块,用于第三方应用防火墙授权服务部署在管理区域或互联网获取;功能授权通过互联网直接获取,将其授权服务部署在管理区域,预购授权保存在授权服务上,不存在外部网络攻击风险;
授权获取模块,用于云管平台页面触发自动部署,授权获取,服务激活,自动部署通过云管平台调用底层虚拟化平台API实现;
配置模块,用于云管平台提供统一、通俗、简单易懂页面进行配置、监控;
引导模块,用于云管平台根据防护资源配置自动实现流量引导;云管平台根据自动部署时选择的被防护资源,自动将请求流量送达应用防火墙并将应用防火墙放行的流量送达被防护资源,同时保证被防护资源返回的信息经由应用防火墙送达请求客户端,应用防火墙支持vlan、vxlan技术,流量引导支持的虚拟平台包括vmware、KVM;
监测模块,用于云管平台周期自动监测服务到期情况,服务到期后释放许可并将资源暂存一定保留时长,保留时长截止可自动销毁释放资源,云管平台周期性自动监测服务到期状况,云管平台自动将到期资源释放授权并迁移暂存于资源回收池,云管平台将保留时长截止的到期资源通过虚拟平台API自动销毁释放。
实施例三
参照附图3所示,本发明提供一种云环境下应用防火墙全生命周期管理的方法,所述的方法包括如下步骤:
1)云管平台所有基础设施、网络部署并调试完成;
2)访问云管平台可视化页面,选定应用防火墙的吞吐量(提供使用场景推荐配置)、使用时长、是否高可用等元素;
3)选定应用服务器或云负载均衡等防护资源,按照云管平台资源创建原则,通过API部署承载应用防火墙服务的载体;
4)创建成功后,通过管理区域授权服务或互联网授权获取功能授权;
5)获取功能授权后,通过云管平台进行策略配置,配置成功后该应用防火墙服务可正常提供安全防护功能;
6)用户根据实际应用场景需求通过云管平台对应用防火墙服务变更被防护资源;
7)应用防火墙投入使用之后可以通过云管平台随时查看监控数据,包括性能、攻击以及日志记录等,根据这些使用效果用户可进行配置调整使功能发挥到最佳状态;
8)云管平台在应用防火墙部署使用之后周期性自动判断服务使用截止时间,如果监测到服务到期会给用户发出通知(短信、邮件等形式),用户通过云管平台进行续订服务或者任服务到期后云管平台自动处理;
9)云管平台将监测的已到期服务资源迁移到资源回收区并释放授权,暂存云管平台设置的保留时长,若用户在保留时长内想要继续使用则将资源重新迁移回业务区,若用户无需求则保留时长截止时云管平台自动销毁释放资源,至此完成第三方应用防火墙全生命周期管理。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (10)
1.一种云环境下应用防火墙全生命周期管理的方法,其特征在于:所述云环境下应用防火墙全生命周期管理的方法包括以下步骤:
第三方应用防火墙授权服务部署在管理区域或互联网获取;
云管平台页面触发自动部署,授权获取,服务激活;
云管平台提供统一、通俗、简单易懂页面进行配置、监控;
云管平台根据防护资源配置自动实现流量引导;
云管平台周期自动监测服务到期情况,服务到期后释放许可并将资源暂存一定保留时长,保留时长截止可自动销毁释放资源。
2.根据权利要求1所述的一种云环境下应用防火墙全生命周期管理的方法,其特征在于:功能授权通过互联网直接获取,将其授权服务部署在管理区域,预购授权保存在授权服务上,不存在外部网络攻击风险。
3.根据权利要求2所述的一种云环境下应用防火墙全生命周期管理的方法,其特征在于:自动部署通过云管平台调用底层虚拟化平台API实现。
4.根据权利要求1所述的一种云环境下应用防火墙全生命周期管理的方法,其特征在于:云管平台根据自动部署时选择的被防护资源,自动将请求流量送达应用防火墙并将应用防火墙放行的流量送达被防护资源,同时保证被防护资源返回的信息经由应用防火墙送达请求客户端,应用防火墙支持vlan、vxlan技术,流量引导支持的虚拟平台包括vmware、KVM。
5.根据权利要求1所述的一种云环境下应用防火墙全生命周期管理的方法,其特征在于:云管平台周期性自动监测服务到期状况,云管平台自动将到期资源释放授权并迁移暂存于资源回收池,云管平台将保留时长截止的到期资源通过虚拟平台API自动销毁释放。
6.一种如上述权利要求1-5任意一项所述的云环境下应用防火墙全生命周期管理的系统,其特征在于:所述该系统由授权部署模块、授权获取模块、配置模块、引导模块以及监测模块构成;
授权部署模块,用于第三方应用防火墙授权服务部署在管理区域或互联网获取;
授权获取模块,用于云管平台页面触发自动部署,授权获取,服务激活;
配置模块,用于云管平台提供统一、通俗、简单易懂页面进行配置、监控;
引导模块,用于云管平台根据防护资源配置自动实现流量引导;
监测模块,用于云管平台周期自动监测服务到期情况,服务到期后释放许可并将资源暂存一定保留时长,保留时长截止可自动销毁释放资源。
7.根据权利要求6所述的一种云环境下应用防火墙全生命周期管理的系统,其特征在于:所述授权部署模块中,功能授权通过互联网直接获取,将其授权服务部署在管理区域,预购授权保存在授权服务上,不存在外部网络攻击风险。
8.根据权利要求6所述的一种云环境下应用防火墙全生命周期管理的系统,其特征在于:所述授权获取模块中,自动部署通过云管平台调用底层虚拟化平台API实现。
9.根据权利要求6所述的一种云环境下应用防火墙全生命周期管理的系统,其特征在于:所述引导模块中,云管平台根据自动部署时选择的被防护资源,自动将请求流量送达应用防火墙并将应用防火墙放行的流量送达被防护资源,同时保证被防护资源返回的信息经由应用防火墙送达请求客户端,应用防火墙支持vlan、vxlan技术,流量引导支持的虚拟平台包括vmware、KVM。
10.根据权利要求6所述的一种云环境下应用防火墙全生命周期管理的系统,其特征在于:所述监测模块中,云管平台周期性自动监测服务到期状况,云管平台自动将到期资源释放授权并迁移暂存于资源回收池,云管平台将保留时长截止的到期资源通过虚拟平台API自动销毁释放。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211016465.7A CN115442094A (zh) | 2022-08-24 | 2022-08-24 | 一种云环境下应用防火墙全生命周期管理的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211016465.7A CN115442094A (zh) | 2022-08-24 | 2022-08-24 | 一种云环境下应用防火墙全生命周期管理的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115442094A true CN115442094A (zh) | 2022-12-06 |
Family
ID=84245395
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211016465.7A Pending CN115442094A (zh) | 2022-08-24 | 2022-08-24 | 一种云环境下应用防火墙全生命周期管理的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115442094A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110321148A1 (en) * | 2010-06-25 | 2011-12-29 | Salesforce.Com, Inc. | Methods And Systems For Providing a Token-Based Application Firewall Correlation |
| US20180145884A1 (en) * | 2016-11-23 | 2018-05-24 | Vmware, Inc. | Lifecycle management of custom resources in a cloud computing environment |
| CN109787847A (zh) * | 2019-04-01 | 2019-05-21 | 山东浪潮云信息技术有限公司 | 一种云防火墙全生命周期自动化管理系统及方法 |
| CN111786829A (zh) * | 2020-07-01 | 2020-10-16 | 浪潮云信息技术股份公司 | 一种云防火墙全生命周期的自动化管理方法 |
| CN113326098A (zh) * | 2021-06-11 | 2021-08-31 | 成都精灵云科技有限公司 | 支持kvm虚拟化与容器虚拟化的云管平台 |
| CN114066217A (zh) * | 2021-11-11 | 2022-02-18 | 神州数码系统集成服务有限公司 | 构建面向业务的企业it运营与服务体系方法、系统及设备 |
-
2022
- 2022-08-24 CN CN202211016465.7A patent/CN115442094A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110321148A1 (en) * | 2010-06-25 | 2011-12-29 | Salesforce.Com, Inc. | Methods And Systems For Providing a Token-Based Application Firewall Correlation |
| US20180145884A1 (en) * | 2016-11-23 | 2018-05-24 | Vmware, Inc. | Lifecycle management of custom resources in a cloud computing environment |
| CN109787847A (zh) * | 2019-04-01 | 2019-05-21 | 山东浪潮云信息技术有限公司 | 一种云防火墙全生命周期自动化管理系统及方法 |
| CN111786829A (zh) * | 2020-07-01 | 2020-10-16 | 浪潮云信息技术股份公司 | 一种云防火墙全生命周期的自动化管理方法 |
| CN113326098A (zh) * | 2021-06-11 | 2021-08-31 | 成都精灵云科技有限公司 | 支持kvm虚拟化与容器虚拟化的云管平台 |
| CN114066217A (zh) * | 2021-11-11 | 2022-02-18 | 神州数码系统集成服务有限公司 | 构建面向业务的企业it运营与服务体系方法、系统及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109787847B (zh) | 一种云防火墙全生命周期自动化管理方法 | |
| CN105306622B (zh) | 一种云网融合域名解析系统及其dns服务方法 | |
| CN106850549B (zh) | 一种分布式加密服务网关及实现方法 | |
| EP2815538A2 (en) | Method and apparatus for rapid disaster recovery preparation in a cloud network | |
| CN104125085B (zh) | 一种基于esb的数据管控方法及装置 | |
| US20140237373A1 (en) | Method of provisioning a cloud-based render farm | |
| US20230057210A1 (en) | Network service construction system and network service construction method | |
| CN103458055A (zh) | 一种云计算平台 | |
| CN110764871A (zh) | 一种基于云平台的拟态化应用封装与控制系统和方法 | |
| CN110245031B (zh) | 一种ai服务开放中台及方法 | |
| CN111786829A (zh) | 一种云防火墙全生命周期的自动化管理方法 | |
| KR20130083726A (ko) | 클라우드 시스템에서의 가상 머신 통합 모니터링 장치 및 방법 | |
| CN111901154B (zh) | 基于nfv的安全架构系统和安全部署及安全威胁处理方法 | |
| CN105843725B (zh) | 一种IaaS平台的监控方法及装置 | |
| CN110247812A (zh) | 一种多集群管理方法、装置、系统及相关组件 | |
| CN109302324A (zh) | 一种私有云监控预警方法及系统 | |
| CN109257229A (zh) | 一种主备切换方法及装置 | |
| CN116418876A (zh) | 一种算力网络服务的迁移方法、系统及云管理平台 | |
| CN108881460B (zh) | 一种云平台统一监控的实现方法和实现装置 | |
| CN115442094A (zh) | 一种云环境下应用防火墙全生命周期管理的方法及系统 | |
| CN110011850B (zh) | 云计算系统中服务的管理方法和装置 | |
| CN108243205A (zh) | 一种用于控制云平台资源分配的方法、设备与系统 | |
| CN102713860B (zh) | 一种用户体验指标监控方法及监控虚拟机 | |
| CN116192885A (zh) | 高可用集群架构人工智能实验云平台数据处理方法及系统 | |
| CN103457771A (zh) | 一种ha的虚拟机集群的管理方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |