本发明专利技术提出了一种基于VXLAN网络对数据库的防护方法及系统,涉及计算机网络通信领域。一种基于VXLAN网络对数据库的防护方法包括:获取数据包并对数据包的链路头部分进行解析;对解析后的数据包进行第一次判断,若判断结果为目标数据包,则按照第一预设规则进行解析,若判断结果为不是,则按照第二预设规则进行解析;根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断。其能够在VXLAN网络中,部署的数据库审计及防护系统,实现报文解封装,支持VXLAN报文的转发,策略匹配风险告警和访问控制的能力。此外本发明专利技术还提出了一种基于VXLAN网络对数据库的防护系统。
【技术实现步骤摘要】
一种基于VXLAN网络对数据库的防护方法及系统
本专利技术涉及计算机网络通信领域,具体而言,涉及一种基于VXLAN网络对数据库的防护方法及系统。
技术介绍
现有技术应用虚拟可扩展局域网(VirtualextensibleLAN,VXLAN)技术扩展网络虚拟化,用以得到足够数量的虚拟网络,来满足用户使用。随着云计算的快速发展,数据中心的虚拟化程度越来越高,对物理网络的要求也越来越高。例如,数据中心网络中部署的机柜顶部(TopOfRack,TOR)交换机,需要维护大规模的媒体接入控制(MediaAccessControl,MAC)地址表。又例如,现有的虚拟局域网(VirtualLocalAreaNetwork,VLAN)技术最大仅支持4094个二层隔离独立转发域,无法实现海量虚拟机的网络隔离。再例如,多租户环境迫切需要行之有效的网络隔离技术,以保证用户的数据安全。现有的虚拟可扩展局域网技术虽然可以解决上述问题。然而,在实际应用中,VXLAN存在容易遭受仿冒的VXLAN报文攻击的问题。例如,当攻击者将大量仿冒的VXLAN报文发送至VXLAN隧道端点(VXLANTunnelingEndPoint,VTEP)设备时,VTEP设备不得不提供大量的处理器资源处理仿冒的VXLAN报文,导致VTEP设备没有足够的剩余处理器资源来处理非VXLAN报文,从而降低了VTEP设备的正常工作效率。通过VXLAN封装后的二层以太网帧可以跨三层网络边界,让组网以及应用部署变得更加灵活,同时支持更大的逻辑网络。但是在VXLAN网络中因为报文的特殊性,不支持VXLAN的产品是无法实现对应产品功能的,且对VXLAN数据包进行解析的工作效率太低。
技术实现思路
本专利技术的目的在于提供一种基于VXLAN网络对数据库的防护方法,其能够在VXLAN网络中,部署的数据库审计系统,实现报文解决审计,进行风险分析。数据库防火墙系统,实现报文解封装,支持VXLAN报文的转发,策略匹配风险告警和访问控制的能力。本专利技术的另一目的在于提供一种基于VXLAN网络对数据库的防护系统,其能够运行一种基于VXLAN网络对数据库的防护方法。本专利技术的实施例是这样实现的:第一方面,本申请实施例提供一种基于VXLAN网络对数据库的防护方法,其包括获取数据包并对数据包的链路头部分进行解析;对解析后的数据包进行第一次判断,若判断结果为目标数据包,则按照第一预设规则进行解析,若判断结果为不是,则按照第二预设规则进行解析;根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断;对匹配绑定策略的结果缓存,根据配置发送告警并行压缩存储。在本专利技术的一些实施例中,上述获取数据包包括:在VXLAN网络中,透明部署数据库审计及防护系统,采用DPDK技术实现数据库防火墙的高速业务转发。在本专利技术的一些实施例中,上述对解析后的数据包进行第一次判断包括:根据解析数据包链路头部分,判断是否为VXLAN数据包。在本专利技术的一些实施例中,上述若判断结果为目标数据包,则按照第一预设规则进行解析包括:若是VXLAN数据包,则按照VXLAN数据包格式解析数据包的链路头部。在本专利技术的一些实施例中,上述若判断结果为不是,则按照第二预设规则进行解析包括:对解析结果再次判断是否为需要处理的业务数据包;若判断结果是需要处理的业务数据包,则偏移到VXLAN数据包数据部分,再按照正常IP数据包格式解析数据。在本专利技术的一些实施例中,上述根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断包括:根据解析结果匹配绑定策略,判断是否转发或者阻断丢弃。在本专利技术的一些实施例中,上述对匹配绑定策略的结果缓存,根据配置发送告警并行压缩存储包括:对匹配绑定策略的结果缓存,根据配置发送告警并行IO存储。在本专利技术的一些实施例中,上述还包括:IO存储后进行java创建索引及UI页面展示统计分析。第二方面,本申请实施例提供一种基于VXLAN网络对数据库的防护系统,其包括获取模块,用于获取数据包并对数据包的链路头部分进行解析;第一次判断模块,用于对解析后的数据包进行第一次判断,若判断结果为目标数据包,则按照第一预设规则进行解析,若判断结果为不是,则按照第二预设规则进行解析;第二次判断模块,用于根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断;缓存模块,用于对匹配绑定策略的结果缓存,根据配置发送告警并行压缩存储。在本专利技术的一些实施例中,上述包括:用于存储计算机指令的至少一个存储器;与上述存储器通讯的至少一个处理器,其中当上述至少一个处理器执行上述计算机指令时,上述至少一个处理器使上述系统执行:获取模块、第一次判断模块、第二次判断模块及缓存模块。相对于现有技术,本专利技术的实施例至少具有如下优点或有益效果:解决在VXLAN环境中,支持VXLAN数据转发,和数据的安全防护功能。还可以解决VXLAN环境下的如下问题,访问控制能力:支持对访问敏感数据的检测和阻断的能力,如对敏感库,敏感表,敏感字段查询,修改或删除操作实时访问控制的能力。入侵检测能力:支持对内部违规越权操作,SQL注入,漏洞攻击实时检测和拦截的能力。在VXLAN网络中,部署的数据库审计系统,实现报文解决审计,进行风险分析。数据库防火墙系统,实现报文解封装,支持VXLAN报文的转发,策略匹配风险告警和访问控制的能力。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。图1为本专利技术实施例提供的一种基于VXLAN网络对数据库的防护方法步骤示意图;图2为本专利技术实施例提供的一种基于VXLAN网络对数据库的防护方法详细步骤示意图;图3为本专利技术实施例提供的一种基于VXLAN网络对数据库的防护系统模块示意图。图标:10-获取模块;20-第一次判断模块;30-第二次判断模块;40缓存模块。具体实施方式为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”本文档来自技高网...
【技术保护点】
1.一种基于VXLAN网络对数据库的防护方法,其特征在于,包括:/n获取数据包并对数据包的链路头部分进行解析;/n对解析后的数据包进行第一次判断,若判断结果为目标数据包,则按照第一预设规则进行解析,若判断结果为不是,则按照第二预设规则进行解析;/n根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断;/n对匹配绑定策略的结果缓存,根据配置发送告警并行压缩存储。/n
【技术特征摘要】
1.一种基于VXLAN网络对数据库的防护方法,其特征在于,包括:
获取数据包并对数据包的链路头部分进行解析;
对解析后的数据包进行第一次判断,若判断结果为目标数据包,则按照第一预设规则进行解析,若判断结果为不是,则按照第二预设规则进行解析;
根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断;
对匹配绑定策略的结果缓存,根据配置发送告警并行压缩存储。
2.如权利要求1所述的一种基于VXLAN网络对数据库的防护方法,其特征在于,所述获取数据包包括:
在VXLAN网络中,透明部署数据库审计及防护系统,采用DPDK技术实现数据库防火墙的高速业务转发。
3.如权利要求1所述的一种基于VXLAN网络对数据库的防护方法,其特征在于,所述对解析后的数据包进行第一次判断包括:
根据解析数据包链路头部分,判断是否为VXLAN数据包。
4.如权利要求1所述的一种基于VXLAN网络对数据库的防护方法,其特征在于,所述若判断结果为目标数据包,则按照第一预设规则进行解析包括:
若是VXLAN数据包,则按照VXLAN数据包格式解析数据包的链路头部。
5.如权利要求1所述的一种基于VXLAN网络对数据库的防护方法,其特征在于,所述若判断结果为不是,则按照第二预设规则进行解析包括:
对解析结果再次判断是否为需要处理的业务数据包;
若判断结果是需要处理的业务数据包,则偏移到VXLAN数据包数据部分,再按照正常IP数据包格式解析数据。
6.如...
【专利技术属性】
技术研发人员:唐更新,张朝辉,宋辉,赵卫国,
申请(专利权)人:北京中安星云软件技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。