连接权限控制方法、装置、电子设备及存储介质制造方法及图纸

本申请提供了一种连接权限控制方法、装置、电子设备及存储介质。所述方法包括：响应于客户端发送的针对容器集群的访问请求，在建立与容器集群的后台系统的连接之前，获取客户端的互联网协议地址；调用地址写入模块，将互联网协议地址写入目标协议层地址选项内；在目标协议层地址选项内添加互联网协议地址的地址访问策略；在地址访问策略为允许访问策略的情况下，调用预置跟踪插件对互联网协议地址进行跟踪，得到客户端访问的容器集群内的目标容器，及客户端与目标容器之间的交互数据信息；根据交互数据信息和预置流控规则，对客户端与容器集群之间的连接权限进行控制。本申请可以实现针对性的进行出/入向流量控制和监控，增加网络的可监测性。加网络的可监测性。加网络的可监测性。

【技术实现步骤摘要】
连接权限控制方法、装置、电子设备及存储介质


[0001]本申请涉及网络安全
，特别是涉及一种连接权限控制方法、装置、电子设备及存储介质。

技术介绍

[0002]随着微服务以及Docker(应用容器引擎)等轻量级容器技术的发展，Kubernates、Apache Mesos等容器编排平台逐渐成为分布式运维架构的主流方案。
[0003]与传统的基于防火墙的主机网络安全策略不同，容器虚拟网络和动态调度的特性使得防火墙等传统边界安全方案变得捉襟见肘，无法适应大规模集群的动态伸缩性。因此各容器编排平台或云平台均基于微服务高动态调度的特点，实现了基于标签、IP(Internet Protocol，网络之间互连的协议)等更为灵活的网络安全策略。此种网络安全策略在LB/NAT负载均衡的场景下，外源IP会被LBIP所代替，导致后端服务无法直接获取真实的外源IP，也就无法针对性的进行出/入向流量控制和监控，丢失了真实的流量拓扑。

技术实现思路

[0004]本申请实施例的目的在于提供一种连接权限控制方法、装置、电子设备及存储介质，以实现针对性的进行出/入向流量控制和监控，增加网络的可监测性。具体技术方案如下：
[0005]在本申请实施的第一方面，提供了一种连接权限控制方法，应用于网络地址转换层，包括：
[0006]响应于客户端发送的针对容器集群的访问请求，在建立与所述容器集群的后台系统的连接之前，获取所述客户端的互联网协议地址；
[0007]调用预先加载的地址写入模块，将所述互联网协议地址写入目标协议层地址选项内；
[0008]在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略；
[0009]在所述地址访问策略为允许访问策略的情况下，调用预置跟踪插件对所述互联网协议地址进行跟踪，得到所述客户端访问的所述容器集群内的目标容器，及所述客户端与所述目标容器之间的交互数据信息；
[0010]根据所述交互数据信息和预置流控规则，对所述客户端与所述容器集群之间的连接权限进行控制。
[0011]可选地，在所述获取所述客户端的互联网协议地址之前，还包括：
[0012]编译预设脚本，生成所述地址写入模块；
[0013]在内核中加载所述地址写入模块；
[0014]在接收到所述客户端的访问请求之后，启动所述地址写入模块。
[0015]可选地，所述调用预先加载的地址写入模块，将所述互联网协议地址写入协议层地址选项内，包括：
[0016]在所述地址写入模块为传输控制协议对应的地址写入模块的情况下，基于所述地址写入模块将所述互联网协议地址写入所述传输控制协议的地址选项内；
[0017]在所述地址写入模块为用户数据报协议对应的地址写入模块的情况下，基于所述地址写入模块将所述互联网协议地址写入所述用户数据报协议的地址选项内。
[0018]可选地，所述在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略，包括：
[0019]判断所述互联网协议地址是否处于地址黑名单内；
[0020]在确定所述互联网协议地址处于地址黑名单内的情况下，在所述目标协议层地址选项内添加所述互联网协议地址对应的禁止访问策略；
[0021]在确定所述互联网协议地址未处于地址黑名单内的情况下，在所述目标协议层地址选项内添加所述互联网协议地址对应的允许访问策略。
[0022]可选地，在所述在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略之后，还包括：
[0023]在携带所述目标协议层地址选项访问所述后台系统的应用层之前，解析所述目标协议层地址选项，得到解析结果；
[0024]在所述解析结果指示所述互联网协议地址的访问策略为禁止访问策略的情况下，断开所述客户端与所述后台系统之间的网络连接；
[0025]在所述解析结果指示互联网协议地址的访问策略为允许访问策略的情况下，建立所述客户端与所述后台系统之间的网络连接。
[0026]可选地，所述根据所述交互数据信息和预置流控规则，对所述客户端与所述容器集群之间的连接权限进行控制，包括：
[0027]根据所述预置流控规则，判断所述交互数据信息是否为攻击行为信息；
[0028]在所述交互数据信息为攻击行为信息的情况下，修改与所述客户端对应的防火墙配置信息，以断开所述客户端与所述容器集群之间的连接。
[0029]可选地，在所述根据所述交互数据信息和预置流控规则，对所述客户端与所述容器集群之间的连接权限进行控制之前，还包括：
[0030]获取所述后台系统配置的流量控制策略；
[0031]对所述流量控制策略进行编译处理，生成所述预置流控规则；
[0032]在内核中加载所述预置流控规则，以启用所述预置流控规则。
[0033]可选地，所述调用预置跟踪插件对所述互联网协议地址进行跟踪，得到所述客户端访问的所述容器集群内的目标容器，及所述客户端与所述目标容器之间的交互数据信息，包括：
[0034]调用所述预置跟踪插件获取所述客户端访问的所述目标容器；
[0035]获取所述目标容器所属目标子容器集群的目标集群标识；所述目标子容器集群是指所述容器集群内划分的多个子容器集群中的子容器集群；
[0036]每隔预设时长获取一次所述目标容器的容器IP；
[0037]调用所述预置跟踪插件对所述目标集群标识、所述容器IP和互联网协议地址进行跟踪，得到所述客户端与所述目标容器之间的交互数据信息。
[0038]在本申请实施的第二方面，还提供了一种连接权限控制装置，应用于网络地址转
换层，包括：
[0039]互联网地址获取模块，用于响应于客户端发送的针对容器集群的访问请求，在建立与所述容器集群的后台系统的连接之前，获取所述客户端的互联网协议地址；
[0040]互联网地址写入模块，用于调用预先加载的地址写入模块，将所述互联网协议地址写入目标协议层地址选项内；
[0041]地址访问策略添加模块，用于在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略；
[0042]交互数据信息获取模块，用于在所述地址访问策略为允许访问策略的情况下，调用预置跟踪插件对所述互联网协议地址进行跟踪，得到所述客户端访问的所述容器集群内的目标容器，及所述客户端与所述目标容器之间的交互数据信息；
[0043]连接权限控制模块，用于根据所述交互数据信息和预置流控规则，对所述客户端与所述容器集群之间的连接权限进行控制。
[0044]可选地，所述装置还包括：
[0045]地址写入生成模块，用于编译预设脚本，生成所述地址写入模块；
[0046]地址写入加载模块，用于在内核中加载所述地址写入模块；
[0047]地址写入启动模块，用于在接收到所述客户端的访问请求之后，启动所述地址写入模块。
[0048]可选地，所述互联网地址写入模块包括本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种连接权限控制方法，应用于网络地址转换层，其特征在于，包括：响应于客户端发送的针对容器集群的访问请求，在建立与所述容器集群的后台系统的连接之前，获取所述客户端的互联网协议地址；调用预先加载的地址写入模块，将所述互联网协议地址写入目标协议层地址选项内；在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略；在所述地址访问策略为允许访问策略的情况下，调用预置跟踪插件对所述互联网协议地址进行跟踪，得到所述客户端访问的所述容器集群内的目标容器，及所述客户端与所述目标容器之间的交互数据信息；根据所述交互数据信息和预置流控规则，对所述客户端与所述容器集群之间的连接权限进行控制。2.根据权利要求1所述的方法，其特征在于，在所述获取所述客户端的互联网协议地址之前，还包括：编译预设脚本，生成所述地址写入模块；在内核中加载所述地址写入模块；在接收到所述客户端的访问请求之后，启动所述地址写入模块。3.根据权利要求1所述的方法，其特征在于，所述调用预先加载的地址写入模块，将所述互联网协议地址写入协议层地址选项内，包括：在所述地址写入模块为传输控制协议对应的地址写入模块的情况下，基于所述地址写入模块将所述互联网协议地址写入所述传输控制协议的地址选项内；在所述地址写入模块为用户数据报协议对应的地址写入模块的情况下，基于所述地址写入模块将所述互联网协议地址写入所述用户数据报协议的地址选项内。4.根据权利要求1所述的方法，其特征在于，所述在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略，包括：判断所述互联网协议地址是否处于地址黑名单内；在确定所述互联网协议地址处于地址黑名单内的情况下，在所述目标协议层地址选项内添加所述互联网协议地址对应的禁止访问策略；在确定所述互联网协议地址未处于地址黑名单内的情况下，在所述目标协议层地址选项内添加所述互联网协议地址对应的允许访问策略。5.根据权利要求1所述的方法，其特征在于，在所述在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略之后，还包括：在携带所述目标协议层地址选项访问所述后台系统的应用层之前，解析所述目标协议层地址选项，得到解析结果；在所述解析结果指示所述互联网协议地址的访问策略为禁止访问策略的情况下，断开所述客户端与所述后台系统之间的网络连接；在所述解析结果指示互联网协议地址的访问策略为允许访问策略的情况下，建立所述客户端与所述后台系统之间的网络连接。6.根据权利要求1所述的方法，其特征在于，所述根据所述交互数据信息和预置流控规则，对所述客户端与所述容器集群之间的连接权限进行控制，包括：根据所述预置流控规则，判断所述交互数据信息是否为攻击行为信息；
在所述交互数...

【专利技术属性】
技术研发人员：李端丰，
申请(专利权)人：北京奇艺世纪科技有限公司，
类型：发明
国别省市：