CN117097545A - 一种实时应用集群防护方法、装置、设备及存储介质 - Google Patents
一种实时应用集群防护方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117097545A CN117097545A CN202311168408.5A CN202311168408A CN117097545A CN 117097545 A CN117097545 A CN 117097545A CN 202311168408 A CN202311168408 A CN 202311168408A CN 117097545 A CN117097545 A CN 117097545A
- Authority
- CN
- China
- Prior art keywords
- reverse proxy
- proxy connection
- connection port
- target
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000004590 computer program Methods 0.000 claims description 15
- 238000004891 communication Methods 0.000 description 5
- 101100540488 Schizosaccharomyces pombe (strain 972 / ATCC 24843) asp1 gene Proteins 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种实时应用集群防护方法、装置、设备及存储介质,涉及计算机技术领域,包括:将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口,识别数据库对第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包;从目标数据包中获取下次连接的目标虚拟ip,查找目标反向代理连接端口;将目标反向代理连接端口配置为数据库防火墙的反向代理连接端口,以及将目标数据包中的各虚拟ip对应的各第二反向代理连接端口均替换为目标反向代理连接端口,以得到替换后数据包,对替换后数据包进行放行,以便客户端下次自动连接数据库防火墙的目标反向代理连接端口。由此,本申请能够实现对实时应用集群的防护。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种实时应用集群防护方法、装置、设备及存储介质。
背景技术
数据库防火墙需要对数据库连接进行代理以达到安全管控的目的,在反向代理部署中,对oracle rac(Oracle real application clusters,实时应用集群)由于数据库特性存在无法防护的问题。oracle rac在云环境或虚拟化环境中用的越来越多,目前不支持防护,有很大的安全隐患。对于一般的数据库只是通过数据库的ip(Internet ProtocolAddress,互联网协议地址)端口进行代理即可,如数据库ip为1.1.1.1,数据库端口为3306,数据库防火墙ip为1.1.1.2,在数据库防火墙上配置代理端口13306,所有访问13306的数据重定向到1.1.1.1的3306,用户访问1.1.1.2的13306达到代理效果。而oracle rac有特殊性,由2台及以上的节点组成集群oracle rac有三种ip概念,scan ip:集群ip,对外访问;vip(Virtual IP Address,虚拟ip地址):虚拟ip每个节点的浮动ip;public ip:节点ip;实际的oracle rac使用中主要涉及scan ip和vip,不会用到public ip。连接oracle rac实际是产生2次连接过程,第一次连接scan ip(告知下次连接的vip),第二次连接vip(实际操作sql(Structured Query Language,结构化查询语言))。因此如何解决数据库防火墙无法对oracle rac通过反向代理方式来进行安全管控是目前需要关注的。
发明内容
有鉴于此,本发明的目的在于提供一种实时应用集群防护方法、装置、设备及存储介质,能够通过识别返回的下次连接的vip数据包特征,并通过模拟改写成数据库防火墙的ip,达到支持对oracle rac防护的目的。其具体方案如下:
第一方面,本申请公开了一种实时应用集群防护方法,包括:
将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口,并识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包;
从所述目标数据包中获取下次连接的目标虚拟ip,并从预先配置的若干第二反向代理连接端口中查找与所述目标虚拟ip对应的目标反向代理连接端口;
将所述目标反向代理连接端口配置为所述数据库防火墙的反向代理连接端口,以及将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口,以得到替换后数据包,并对所述替换后数据包进行放行,以便客户端下次自动连接所述数据库防火墙的与所述目标虚拟ip对应的所述目标反向代理连接端口。
可选的,所述将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口之前,还包括:
配置反向代理连接端口集;其中,所述反向代理连接端口集中包括与scan ip对应的第一反向代理连接端口以及与若干虚拟ip分别对应的若干第二反向代理连接端口。
可选的,所述识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包之后,还包括:
断开连接所述数据库防火墙的所述第一反向代理连接端口。
可选的,利用预设的实时应用集群数据包协议格式将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口。
可选的,所述方法还包括:
基于所述替换后数据包中数据长度的变化更新相应的数据长度字段。
第二方面,本申请公开了一种实时应用集群防护装置,包括:
目标数据包获取模块,用于将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口,并识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包;
端口查找模块,用于从所述目标数据包中获取下次连接的目标虚拟ip,并从预先配置的若干第二反向代理连接端口中查找与所述目标虚拟ip对应的目标反向代理连接端口;
端口替换模块,用于将所述目标反向代理连接端口配置为所述数据库防火墙的反向代理连接端口,以及将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口,以得到替换后数据包;
数据包放行模块,用于对所述替换后数据包进行放行,以便客户端下次自动连接所述数据库防火墙的与所述目标虚拟ip对应的所述目标反向代理连接端口。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现前述的实时应用集群防护方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述的实时应用集群防护方法。
本申请在对实时应用集群进行防护时,首先将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口,并识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包;之后从所述目标数据包中获取下次连接的目标虚拟ip,并从预先配置的若干第二反向代理连接端口中查找与所述目标虚拟ip对应的目标反向代理连接端口;最后将所述目标反向代理连接端口配置为所述数据库防火墙的反向代理连接端口,以及将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口,以得到替换后数据包,并对所述替换后数据包进行放行,以便客户端下次自动连接所述数据库防火墙的与所述目标虚拟ip对应的所述目标反向代理连接端口。可见,本申请能够通过识别返回的下次连接的vip数据包特征,并通过模拟改写成数据库防火墙的ip,达到支持对oracle rac防护的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种实时应用集群防护方法流程图;
图2为本申请公开的一种实时应用集群防护装置结构示意图;
图3为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
对scan ip的访问仅仅是为了获取下次自动重连的vip,而如果连这vip等于越过了数据库防火墙,数据库防火墙起不到任何作用。
客户端工具直连访问oracle rac过程:第一个连接:[客户端]发起连接scan ip/1521;[数据库]返回下次连接的vip/1521;[客户端]断开scanip连接;第二个连接-自动重连;[客户端]发起连接vip/1521;[客户端]执行sql。
通过数据库防火墙反向代理访问oracle rac过程(不支持对第二个连接的防护):第一个连接:[客户端]发起连接防火墙ip/scan代理端口(客户端通过代理访问scan ip,流量过防火墙):[数据库]返回下次连接的vip/1521;[客户端]断开连接防火墙ip/scan代理端口;第二个连接-自动重连:[客户端]发起连接vip/1521(客户端直连vip,流量不过防火墙,不支持防护);[客户端]执行sql。但是上述技术均无法实现对于oracle rac的防护,为了解决上述技术问题,本申请公开了一种实时应用集群防护方法,能够达到支持对oraclerac防护的目的。
参见图1所示,本发明实施例公开了一种实时应用集群防护方法,包括:
步骤S11、将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口,并识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包。
本实施例中,将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口之前,还包括:配置反向代理连接端口集;其中,所述反向代理连接端口集中包括与scanip对应的第一反向代理连接端口以及与若干虚拟ip分别对应的若干第二反向代理连接端口。在配置完成后,将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口。其中,scan ip是数据库配好后本身对外提供服务的ip,通过用户人为在数据库防火墙上配置对scan进行代理,scan就是提供对外访问服务。同时,需要识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包。识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包之后,还包括:断开连接所述数据库防火墙的所述第一反向代理连接端口。
步骤S12、从所述目标数据包中获取下次连接的目标虚拟ip,并从预先配置的若干第二反向代理连接端口中查找与所述目标虚拟ip对应的目标反向代理连接端口。
本实施例中,根据识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包,便可以从所述目标数据包中获取下次连接的目标虚拟ip,在获取到下次连接的目标虚拟ip后,需要从预先配置的若干第二反向代理连接端口中查找与所述目标虚拟ip对应的目标反向代理连接端口。需要指出的是,在连接时,会根据不同节点的繁忙情况每次连接不同的节点,但每个节点也和scan一样都设置了代理,不同节点等于对应不同的代理端口,但是同一个节点的每一次连接都是相同的代理端口。
步骤S13、将所述目标反向代理连接端口配置为所述数据库防火墙的反向代理连接端口,以及将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口,以得到替换后数据包,并对所述替换后数据包进行放行,以便客户端下次自动连接所述数据库防火墙的与所述目标虚拟ip对应的所述目标反向代理连接端口。
本实施例中,首先将所述目标反向代理连接端口配置为所述数据库防火墙的反向代理连接端口,以及将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口,就是需要利用预设的实时应用集群数据包协议格式将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口。scan协议里写着下次要连的vip信息,将vip信息改成代理信息,不改的话下次工具会直连vip,不会经过防火墙。同时,基于所述替换后数据包中数据长度的变化更新相应的数据长度字段,错误修改数据包会导致客户端无法正确识别而连接报错。因为scan返回的格式大概就是先一个内的长度,后面再跟内容。数据库驱动也是先取到长度,再按长度取相对应长度的内容,内容错误的取短取长都会引起驱动本身报错。之后,便可以对所述替换后数据包进行放行,以便客户端下次自动连接所述数据库防火墙的与所述目标虚拟ip对应的所述目标反向代理连接端口。进而实现数据库防火墙对新连接进行安全管控。
由上可知,本申请在对实时应用集群进行防护时,首先将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口,并识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包;之后从所述目标数据包中获取下次连接的目标虚拟ip,并从预先配置的若干第二反向代理连接端口中查找与所述目标虚拟ip对应的目标反向代理连接端口;最后将所述目标反向代理连接端口配置为所述数据库防火墙的反向代理连接端口,以及将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口,以得到替换后数据包,并对所述替换后数据包进行放行,以便客户端下次自动连接所述数据库防火墙的与所述目标虚拟ip对应的所述目标反向代理连接端口。可见,本申请能够通过识别返回的下次连接的vip数据包特征,并通过模拟改写成数据库防火墙的ip,达到支持对oracle rac防护的目的。
在一种具体的实施例中,本申请在对实时应用集群进行防护时,首先在系统上配置scan ip的反向代理连接端口如15211,配置vip1的反向代理连接端口如15212,配置vip2的反向代理连接端口如15213,需要注意的是,这里的节点并不只有两个,而会是有多个,多个节点是为了保证一台出问题,还有其他的可以提供服务,这里只是举了2台的例子,实际可以更多。
之后将scan ip的反向代理连接端口15211配置为客户端用于连接数据库防火墙的端口,在数据库防火墙上识别数据库回应访问scan ip代理端口15211的数据包,得到下次连接的vip1(或vip2)。同时,根据配置得到vip1的代理端口为15212。将vip1的代理端口为15212配置为所述数据库防火墙的反向代理连接端口,并根据之前分析的oracle rac数据包协议格式,修改维持的数据包,替换其中的vip/1521为数据库防火墙ip/15212,并且根据由于修改数据之后的数据长度变化更新相应的数据长度字段,错误修改数据包会导致客户端无法正确识别而连接报错。最后,放行替换后的数据包,客户端下次自动连接数据库防火墙ip/15212,这样数据库防火墙便能够对新连接进行安全管控。
整体来看,通过数据库防火墙反向代理访问oracle rac过程为:
第一个连接:
[客户端]发起连接防火墙ip/scan代理端口(客户端通过代理访问scan ip,流量过防火墙);
[数据库]返回下次连接的vip/1521(修改数据库给客户端的这个包,将下次连接的vip/1521改成防火墙ip/vip代理端口);
[客户端]断开连接防火墙ip/scan代理端口。
第二个连接-自动重连:
[客户端]发起连接防火墙ip/vip代理端口(客户端通过代理访问vip,流量过防火墙,支持防护);
[客户端]执行sql。
由上可知,本申请能够通过识别scan ip返回的下次连接的vip数据包特征,并通过模拟改写成数据库防火墙的ip,达到支持对oracle rac防护的目的。
参见图2所示,本发明实施例公开了一种实时应用集群防护装置,包括:
目标数据包获取模块11,用于将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口,并识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包;
端口查找模块12,用于从所述目标数据包中获取下次连接的目标虚拟ip,并从预先配置的若干第二反向代理连接端口中查找与所述目标虚拟ip对应的目标反向代理连接端口;
端口替换模块13,用于将所述目标反向代理连接端口配置为所述数据库防火墙的反向代理连接端口,以及将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口,以得到替换后数据包;
数据包放行模块14,用于对所述替换后数据包进行放行,以便客户端下次自动连接所述数据库防火墙的与所述目标虚拟ip对应的所述目标反向代理连接端口。
由上可知,本申请在对实时应用集群进行防护时,首先将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口,并识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包;之后从所述目标数据包中获取下次连接的目标虚拟ip,并从预先配置的若干第二反向代理连接端口中查找与所述目标虚拟ip对应的目标反向代理连接端口;最后将所述目标反向代理连接端口配置为所述数据库防火墙的反向代理连接端口,以及将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口,以得到替换后数据包,并对所述替换后数据包进行放行,以便客户端下次自动连接所述数据库防火墙的与所述目标虚拟ip对应的所述目标反向代理连接端口。可见,本申请能够通过识别返回的下次连接的vip数据包特征,并通过模拟改写成数据库防火墙的ip,达到支持对oracle rac防护的目的。
在一些具体的实施例中,所述目标数据包获取模块11,还可以包括:
端口配置单元,用于配置反向代理连接端口集;其中,所述反向代理连接端口集中包括与scan ip对应的第一反向代理连接端口以及与若干虚拟ip分别对应的若干第二反向代理连接端口。
在一些具体的实施例中,所述目标数据包获取模块11,还可以包括:
端口断开单元,用于断开连接所述数据库防火墙的所述第一反向代理连接端口。
在一些具体的实施例中,所述端口替换模块13,具体可以包括:
端口替换单元,用于利用预设的实时应用集群数据包协议格式将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口。
在一些具体的实施例中,所述装置,还可以包括:
字段长度更新模块,用于基于所述替换后数据包中数据长度的变化更新相应的数据长度字段。
进一步的,本申请实施例还公开了一种电子设备,图3是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图3为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的实时应用集群防护方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221、计算机程序222等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的实时应用集群防护方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的实时应用集群防护方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的技术方案进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种实时应用集群防护方法,其特征在于,包括:
将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口,并识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包;
从所述目标数据包中获取下次连接的目标虚拟ip,并从预先配置的若干第二反向代理连接端口中查找与所述目标虚拟ip对应的目标反向代理连接端口;
将所述目标反向代理连接端口配置为所述数据库防火墙的反向代理连接端口,以及将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口,以得到替换后数据包,并对所述替换后数据包进行放行,以便客户端下次自动连接所述数据库防火墙的与所述目标虚拟ip对应的所述目标反向代理连接端口。
2.根据权利要求1所述的实时应用集群防护方法,其特征在于,所述将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口之前,还包括:
配置反向代理连接端口集;其中,所述反向代理连接端口集中包括与scan ip对应的第一反向代理连接端口以及与若干虚拟ip分别对应的若干第二反向代理连接端口。
3.根据权利要求1所述的实时应用集群防护方法,其特征在于,所述识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包之后,还包括:
断开连接所述数据库防火墙的所述第一反向代理连接端口。
4.根据权利要求1所述的实时应用集群防护方法,其特征在于,所述将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口,包括:
利用预设的实时应用集群数据包协议格式将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口。
5.根据权利要求1至4任一项所述的实时应用集群防护方法,其特征在于,还包括:
基于所述替换后数据包中数据长度的变化更新相应的数据长度字段。
6.一种实时应用集群防护装置,其特征在于,包括:
目标数据包获取模块,用于将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口,并识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包;
端口查找模块,用于从所述目标数据包中获取下次连接的目标虚拟ip,并从预先配置的若干第二反向代理连接端口中查找与所述目标虚拟ip对应的目标反向代理连接端口;
端口替换模块,用于将所述目标反向代理连接端口配置为所述数据库防火墙的反向代理连接端口,以及将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口,以得到替换后数据包;
数据包放行模块,用于对所述替换后数据包进行放行,以便客户端下次自动连接所述数据库防火墙的与所述目标虚拟ip对应的所述目标反向代理连接端口。
7.根据权利要求6所述的实时应用集群防护装置,其特征在于,所述目标数据包获取模块,还包括:
端口配置单元,用于配置反向代理连接端口集;其中,所述反向代理连接端口集中包括与scan ip对应的第一反向代理连接端口以及与若干虚拟ip分别对应的若干第二反向代理连接端口。
8.根据权利要求6所述的实时应用集群防护装置,其特征在于,所述端口替换模块,包括:
端口替换单元,用于利用预设的实时应用集群数据包协议的格式将所述目标数据包中的各虚拟ip对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至5任一项所述的实时应用集群防护方法的步骤。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的实时应用集群防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311168408.5A CN117097545A (zh) | 2023-09-11 | 2023-09-11 | 一种实时应用集群防护方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311168408.5A CN117097545A (zh) | 2023-09-11 | 2023-09-11 | 一种实时应用集群防护方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117097545A true CN117097545A (zh) | 2023-11-21 |
Family
ID=88775035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311168408.5A Pending CN117097545A (zh) | 2023-09-11 | 2023-09-11 | 一种实时应用集群防护方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117097545A (zh) |
-
2023
- 2023-09-11 CN CN202311168408.5A patent/CN117097545A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110198231B (zh) | 用于多租户的容器网络管理方法和系统以及中间件 | |
| EP3418877B1 (en) | Data writing and reading method and apparatus, and cloud storage system | |
| US20200304563A1 (en) | Method for accessing network by internet of things device, apparatus, and system | |
| EP3008580B1 (en) | Distributed lock management in a cloud computing environment | |
| RU2595517C2 (ru) | Объекты виртуального сетевого интерфейса | |
| EP1738282B1 (en) | Maintaining data integrity in a distributed environment | |
| US20060248371A1 (en) | Method and apparatus for a common cluster model for configuring, managing, and operating different clustering technologies in a data center | |
| EP2866393B1 (en) | Method and apparatus for determining virtual machine drifting | |
| US20070260721A1 (en) | Physical server discovery and correlation | |
| US20080301143A1 (en) | Automatic Update System and Method for Using a Meta Mib | |
| CN111225082B (zh) | 一种物联网智能设备的身份管理方法、装置及物联网平台 | |
| US8204972B2 (en) | Management of logical networks for multiple customers within a network management framework | |
| US20170237687A1 (en) | Resource trees by management controller | |
| WO2017000669A1 (zh) | 域名资源记录缓存的集中管控方法、装置和相关设备 | |
| CN116800835A (zh) | 一种监控数据采集方法、装置、设备及介质 | |
| CN115442231B (zh) | 一种交换机白名单信息管理方法、装置、设备及介质 | |
| CN117097545A (zh) | 一种实时应用集群防护方法、装置、设备及存储介质 | |
| Schmidt et al. | Addressing the challenges of mission-critical information management in next-generation net-centric pub/sub systems with opensplice dds | |
| US10659284B2 (en) | SNMP request processing within distributed device architecture | |
| CN114466011B (zh) | 一种元数据服务请求方法、装置、设备及介质 | |
| US20050125516A1 (en) | Method and apparatus for managing configuration of a network | |
| JP2007522544A (ja) | ネットワーク管理システムとネットワーク要素のエージェントとの間で通信される管理情報ベースの構造 | |
| KR100397468B1 (ko) | Mib 네임 서버를 이용한 망 관리 장치 및 방법 | |
| Cisco | Configuring IE2100 CNS Agents | |
| Cisco | Database Connection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |