一种云原生防火墙的实现方法及相关设备技术

本申请公开了一种云原生防火墙的实现方法及相关设备，所述方法应用于资源服务器，包括：根据所承载的资源服务的资源ID，从中控服务器拉取防护策略及相应的应用IP集合，并据此生成网络层的防火策略；当接收到由中控服务器发送的目标应用待启动的第一消息，获取目标应用的目标应用IP，并据此更新网络层的防火策略，当完成更新后将更新完毕的第二消息发送至中控服务器，以通知目标应用的启动。本申请在应用启动前，将待启动的应用的应用ID及应用IP通知相应的资源服务器，以便进行网络层中相应的防火策略的更新，在更新完毕后，再通知应用的启动，使得资源服务器的防火策略中始终包含应用的有效IP，很好地保证了资源服务器的网络安全。安全。安全。

【技术实现步骤摘要】
一种云原生防火墙的实现方法及相关设备


[0001]本申请涉及网络安全
，更具体地说，是涉及一种云原生防火墙的实现方法及相关设备。

技术介绍

[0002]随着信息技术的发展，企业对于网络安全的重视程度提高了，纷纷采购防火墙等设备希望堵住来自互联网Internet的不安全因素。然而，企业内部网Intranet的攻击和入侵却依然猖狂。事实证明，公司内部的不安全因素远比外部的危害更恐怖。
[0003]例如，企业中经常会有人私自以手机或无线网卡等方式上网，而这些机器通常又置于企业内网中，这种情况的存在给企业网络带来了巨大的潜在威胁。从某种意义来讲，企业耗费巨资配备的防火墙已失去意义。这种接入方式的存在，极有可能使得黑客绕过对外的防火墙而在企业毫不知情的情况下侵入内部网络，从而造成敏感数据泄密、传播病毒等严重后果。因此，针对存储有敏感资源的资源服务器，有必要在内部建立防火墙，以阻断非法访问。
[0004]防火墙一般分为网络层和应用层防火墙，其中网络层防火墙可根据来源和目的IP地址与端口进行防护策略定义，比如通过来源黑名单和白名单策略限制对某个目的(IP，端口)的访问等。将这种策略制定方式应用部署在传统数据中心的固定IP物理机的时候是有效的。然而，对于云原生环境下应用IP不断变化的情况下，但这种传统的方式并不适用。

技术实现思路

[0005]有鉴于此，本申请提供了一种云原生防火墙的实现方法及相关设备，以在企业内部实现云原生环境下对资源服务器的防护。
[0006]为实现上述目的，本申请第一方面提供了云原生防火墙的第一实现方法，所述方法应用于资源服务器，所述方法包括：
[0007]根据所承载的资源服务的资源ID，从中控服务器拉取防护策略，所述防护策略包括禁止接入和/或允许接入的应用的应用ID；
[0008]从中控服务器拉取对应于所述应用ID的应用IP，得到应用IP集合；
[0009]根据所述防护策略和应用IP集合，生成网络层的防火策略；
[0010]当接收到由中控服务器发送的目标应用待启动的第一消息，从所述第一消息获取目标应用的目标应用IP，根据所述目标应用IP更新网络层的防火策略，当完成更新后将更新完毕的第二消息发送至中控服务器，所述第二消息用于通知目标应用的启动。
[0011]优选地，所述云原生防火墙的第一实现方法还包括：
[0012]当接收到由中控服务器发送的目标应用下线的第三消息，根据所述第三消息获取目标应用的目标应用IP，并从网络层的防火策略中删除对应于所述目标应用IP的内容。
[0013]优选地，所述防火策略包括iptables的规则和/或ebpf程序的拦截规则。
[0014]本申请第二方面提供了一种云原生防火墙的第一实现装置，包括：
[0015]策略获取单元，用于根据所承载的资源服务的资源ID，从中控服务器拉取防护策略，所述防护策略包括禁止接入和/或允许接入的应用的应用ID；
[0016]IP获取单元，用于从中控服务器拉取对应于所述应用ID的应用IP，得到应用IP集合；
[0017]策略设置单元，用于根据所述防护策略和应用IP集合，生成网络层的防火策略；
[0018]策略更新单元，用于当接收到由中控服务器发送的目标应用待启动的第一消息，从所述第一消息获取目标应用的目标应用IP，根据所述目标应用IP更新网络层的防火策略，当完成更新后将更新完毕的第二消息发送至中控服务器，所述第二消息用于通知目标应用的启动。
[0019]本申请第三方面提供了一种云原生防火墙的第二实现方法，所述方法应用于中控服务器，所述中控服务器存储有各资源服务器的防护策略，所述防护策略包括禁止接入和/或允许接入资源服务器的应用的应用ID，所述方法包括：
[0020]获取待启动的目标应用的目标应用ID和目标应用IP；
[0021]根据目标应用ID，从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器；
[0022]发送目标应用待启动的第一消息至目标资源服务器，所述第一消息包括目标应用的目标应用IP，用于通知目标资源服务器对防火策略进行更新；
[0023]当接收到所有目标资源服务器的防火策略更新完毕的第二消息后，控制启动所述目标应用。
[0024]优选地，获取待启动的目标应用的目标应用ID和目标应用IP的过程，包括：
[0025]当接收到由调度平台发送的目标应用待启动的第四消息，根据所述第四消息获取待启动的目标应用的目标应用ID和目标应用IP。
[0026]优选地，控制启动所述目标应用的过程，包括：
[0027]发送响应消息至调度平台，所述响应消息用于通知调度平台启动目标应用。
[0028]优选地，所述云原生防火墙的第二实现方法还包括：
[0029]当接收到由调度平台发送的目标应用下线的第五消息：
[0030]根据目标应用的目标应用ID，从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器；
[0031]将目标应用下线的第三消息发送给目标资源服务器，所述第三消息包括目标应用的目标应用IP，用于通知目标资源服务器从网络层的防火策略中删除对应于所述目标应用IP的内容。
[0032]本申请第四方面提供了一种云原生防火墙的第二实现装置，其特征在于，包括：
[0033]信息接收单元，用于获取待启动的目标应用的目标应用ID和目标应用IP；
[0034]信息获取单元，用于根据目标应用ID，从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器；
[0035]通知发送单元，用于发送目标应用待启动的第一消息至目标资源服务器，所述第一消息包括目标应用的目标应用IP，用于通知目标资源服务器对防火策略进行更新；
[0036]控制启动单元，用于当接收到所有目标资源服务器的防火策略更新完毕的第二消息后，控制启动所述目标应用。
[0037]本申请第五方面提供了一种云原生防火墙的实现系统，包括：
[0038]资源服务器、中控服务器、调度平台；
[0039]所述中控服务器分别与所述资源服务器、所述调度平台通信连接；
[0040]所述资源服务器实现如上述的云原生防火墙的第一实现方法的各个步骤；
[0041]所述中控服务器实现如上述的云原生防火墙的第二实现方法的各个步骤；
[0042]所述调度平台存储有各应用的IP，用于对应用的上下线进行管理。
[0043]经由上述的技术方案可知，本申请首先根据所承载的资源服务的资源ID，从中控服务器拉取防护策略，所述防护策略包括禁止接入和/或允许接入的应用的应用ID。然后根据所述应用ID，从中控服务器拉取应用的应用IP集合。所述IP集合包含了对应于各应用ID的应用的有效IP。当获取了防护策略和应用IP集合后，根据所述防护策略和应用IP集合，生成网络层的防火策略，所述防火策略用于对资源服务器进本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种云原生防火墙的实现方法，所述方法应用于资源服务器，其特征在于，包括：根据所承载的资源服务的资源ID，从中控服务器拉取防护策略，所述防护策略包括禁止接入和/或允许接入的应用的应用ID；从中控服务器拉取对应于所述应用ID的应用IP，得到应用IP集合；根据所述防护策略和应用IP集合，生成网络层的防火策略；当接收到由中控服务器发送的目标应用待启动的第一消息，从所述第一消息获取目标应用的目标应用IP，根据所述目标应用IP更新网络层的防火策略，当完成更新后将更新完毕的第二消息发送至中控服务器，所述第二消息用于通知目标应用的启动。2.根据权利要求1所述的方法，其特征在于，还包括：当接收到由中控服务器发送的目标应用下线的第三消息，根据所述第三消息获取目标应用的目标应用IP，并从网络层的防火策略中删除对应于所述目标应用IP的内容。3.根据权利要求1所述的方法，其特征在于，所述防火策略包括iptables的规则和/或ebpf程序的拦截规则。4.一种云原生防火墙的实现装置，其特征在于，包括：策略获取单元，用于根据所承载的资源服务的资源ID，从中控服务器拉取防护策略，所述防护策略包括禁止接入和/或允许接入的应用的应用ID；IP获取单元，用于从中控服务器拉取对应于所述应用ID的应用IP，得到应用IP集合；策略设置单元，用于根据所述防护策略和应用IP集合，生成网络层的防火策略；策略更新单元，用于当接收到由中控服务器发送的目标应用待启动的第一消息，从所述第一消息获取目标应用的目标应用IP，根据所述目标应用IP更新网络层的防火策略，当完成更新后将更新完毕的第二消息发送至中控服务器，所述第二消息用于通知目标应用的启动。5.一种云原生防火墙的实现方法，所述方法应用于中控服务器，其特征在于，所述中控服务器存储有各资源服务器的防护策略，所述防护策略包括禁止接入和/或允许接入资源服务器的应用的应用ID，所述方法包括：获取待启动的目标应用的目标应用ID和目标应用IP；根据目标应用ID，从各资源服务器的防护策略中获取目标应用能够接入和/或禁止接入的目标资源服务器；发送目标应用待启动的第一消...

【专利技术属性】
技术研发人员：廖晓波，朱洪波，郑东祥，
申请(专利权)人：唯品会广州软件有限公司，
类型：发明
国别省市：