一种容器防火墙系统部署方法技术方案
【技术实现步骤摘要】
一种容器防火墙系统部署方法
本专利技术涉及虚拟桌面领域,具体地说,本专利技术涉及一种容器防火墙系统部署方法。
技术介绍
以docker为代表的容器技术凭借其轻量级,部署方便、简洁等优势迅速流行开来。大量的容器在部署时以网络应用的方式呈现,会受到来自网络的攻击入侵,安全问题是极其重要的一环,一旦某一容器应用被攻击,由于容器网络拓扑以及自身存在的特点,导致运行同一宿主机上的容器都会崩溃,极大地影响了业务部署的安全性和稳定性,对用户造成极大地损失。另外,在容器部署的方案中,由于安全原因,经常需要对业务进行严格的访问控制、流量限制等功能。
技术实现思路
为了解决上述问题,本专利技术提供一种容器防火墙系统部署方法。本专利技术的一种容器防火墙系统部署方法,包括如下步骤:s1、将防火墙以容器方式封装形成防火墙容器镜像;s2、在宿主机上启动封装好的防火墙容器镜像,设置容器防火墙的网络模式为host模式,使容器防火墙完全共享宿主机网络协议栈数据,拥有访问宿主机网络接口的完整权限,同时设置容器防火墙具有特权选项的参数,使其具有配置相关网络的权限;s3、将非防火墙所在的容器的网络模式设置为...
【技术保护点】
一种容器防火墙系统部署方法,其特征在于,所述容器防火墙系统部署方法包括如下步骤:s1、将防火墙以容器方式封装形成防火墙容器镜像;s2、在宿主机上启动封装好的防火墙容器镜像,设置容器防火墙的网络模式为host模式,使容器防火墙完全共享宿主机网络协议栈数据,拥有访问宿主机网络接口的完整权限,同时设置容器防火墙具有特权选项的参数,使其具有配置相关网络的权限;s3、将非防火墙所在的容器的网络模式设置为桥接模式且不指定容器的特权privileged选项;s4、容器防火墙实时监控并同步宿主机的NAT表中的容器链中的端口映射数据,容器防火墙为每一个容器存储一个数组,用于记录容器对外暴露的...
【技术特征摘要】
2016.12.14 CN 20161115489641.一种容器防火墙系统部署方法,其特征在于,所述容器防火墙系统部署方法包括如下步骤:s1、将防火墙以容器方式封装形成防火墙容器镜像;s2、在宿主机上启动封装好的防火墙容器镜像,设置容器防火墙的网络模式为host模式,使容器防火墙完全共享宿主机网络协议栈数据,拥有访问宿主机网络接口的完整权限,同时设置容器防火墙具有特权选项的参数,使其具有配置相关网络的权限;s3、将非防火墙所在的容器的网络模式设置为桥接模式且不指定容器的特权privileged选项;s4、容器防火墙实时监控并同步宿主机的NAT表中的容器链中的端口映射数据,容器防火墙为每一个容器存储一个数组,用于记录容器对外暴露的端口及容器内部的IP和端口的数组;s5、容器防火墙通过容器相关的接口获取正在运行的容器镜像名称,管理员通过web管理界面对容器的访问规则进行设置,将设置的规则参数保存在相关的配置文件中;s6、将管理员设置的访问规则应用于容器,容器防火墙根据配置文件中的参数生成相应的报文过滤函数对进入宿主机的网络数据包进行筛选;s7、启动防火墙之后,记录宿主机中所有运行中的容器镜像的进程ID;s8、容器防火墙对所有进入宿主机的网络数据包进行过滤,然后对所有通过容器防火墙过滤的网络报文数据进行安全标记;s9、进程请求获取网络数据;s10、判断请求获取网络数据的进程是否是非容器防火墙所在的容器进程,若是,转到步骤s12,若否,转到步骤s11;s11、同意此进程请求;s12、判断进程请求获取的...
【专利技术属性】
技术研发人员:兰国语,刘晓毅,
申请(专利权)人:中国电子科技网络信息安全有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。