流量安全检测和云防火墙配置方法、装置及设备制造方法及图纸

技术编号:38054684 阅读:14 留言:0更新日期:2023-06-30 11:20
本申请公开了一种流量安全检测和云防火墙配置方法、装置及设备,涉及云安全防护技术领域。通过本申请的技术方案,云租户可以针对每种安全检测功能下发配置规则,则防火墙后台服务器可以基于配置规则来生成云租户粒度的访问控制规则,并下发到云防火墙设备中的相应安全检测策略组中,从而云防火墙设备可以在确定网络流量的目标地址对象已开启云防火墙功能时,则可以基于自身存储的各个安全检测策略组中的访问控制规则对该网络流量进行访问控制。因此,本申请能够从云租户粒度或者地址对象粒度来进行防火墙功能的配置,相应的,云防火墙设备则可以基于云租户粒度或者地址对象粒度进行流量访问控制,提升了云防火墙对于流量防护的精准性。量防护的精准性。量防护的精准性。

【技术实现步骤摘要】
流量安全检测和云防火墙配置方法、装置及设备


[0001]本申请涉及云安全(Cloud Security)
,尤其涉及云安全防护
,提供一种流量安全检测和云防火墙配置方法、装置及设备。

技术介绍

[0002]防火墙(Firewall)是一种用于检测网络流量安全性的网络安全设备,可基于对网络流量的检测结果或者预置的规则来决定是允许还是阻止网络流量通过。随着云网络技术的发展,云服务的使用也越来越广泛,随之而来的针对云服务场景的网络安全防护也愈加重要,因此,云防火墙作为云网络边界防护的重要安全设备,具备高性能、高稳定性是尤其重要的。
[0003]目前,云防火墙通常采用直接在云的网络出口处部署一套传统硬件防火墙来实现云的内外网之间的流量防护。而云服务器是面向大量的云租户的,且每个云租户都可能在云服务器部署有一个甚至多个网站,但是,传统硬件防火墙是基于传统的物理服务器而设的,而传统的物理服务器通常是提供单一网站的后台服务,因此传统硬件防火墙通常仅支持单一网站的流量防护规则的配置,从而传统硬件防火墙直接使用到云服务场景中时,无法识别每个云租户或者网站粒度的流量防护需求,使得流量防护的精准性不高。

技术实现思路

[0004]本申请实施例提供一种流量安全检测和云防火墙配置方法、装置及设备,用于实现云租户的流量防护规则配置和安全检测,提升云防火墙对于流量防护的精准性。
[0005]一方面,提供一种流量安全检测方法,应用于云防火墙设备,该方法包括:
[0006]接收携带有目标地址对象的网络流量,并将所述目标地址对象与本地存储的开关策略组包含的各参考地址对象进行对象匹配;所述各参考地址对象是响应于所述各参考地址对象各自所属的云租户的功能启动请求,添加至所述开关策略组中的;
[0007]在匹配成功时,确定所述目标地址对象已开启云防火墙功能,并将所述网络流量,分别与多个安全检测策略组各自包含的访问控制规则进行规则匹配;其中,每个安全检测策略组对应一种安全检测功能,且每条访问控制规则是基于相应安全检测功能的规则模板,及云租户发送的配置规则所生成的;
[0008]在匹配成功时,基于命中的目标访问控制规则对所述网络流量进行访问控制。
[0009]一方面,提供一种云防火墙配置方法,应用于防火墙后台服务器,所述方法包括:
[0010]接收云租户针对云防火墙设备的至少一种安全检测功能进行配置操作所触发的配置请求,所述配置请求携带所述至少一种安全检测功能各自对应的配置规则;
[0011]基于至少一种配置规则,以及所述云租户关联的目标地址对象,分别对至少一种安全检测功能各自对应的规则模板进行填充处理,以生成所述至少一种安全检测功能各自对应的访问控制规则;
[0012]将生成的访问控制规则,分别添加至所述云防火墙设备中相对应的安全检测策略
组中,以使得所述云防火墙设备基于各安全检测策略组对携带所述目标地址对象的网络流量进行安全检测。
[0013]一方面,提供一种流量安全检测装置,应用于云防火墙设备,该装置包括:
[0014]流量接收单元,用于接收携带有目标地址对象的网络流量;
[0015]开关检测单元,用于将所述目标地址对象与本地存储的开关策略组包含的各参考地址对象进行对象匹配;所述各参考地址对象是响应于所述各参考地址对象各自所属的云租户的功能启动请求,添加至所述开关策略组中的;
[0016]安全检测单元,用于在匹配成功时,确定所述目标地址对象已开启云防火墙功能,并将所述网络流量,分别与多个安全检测策略组各自包含的访问控制规则进行规则匹配;其中,每个安全检测策略组对应一种安全检测功能,且每条访问控制规则是基于相应安全检测功能的规则模板,及云租户发送的配置规则所生成的;
[0017]执行单元,用于在匹配成功时,基于命中的目标访问控制规则对所述网络流量进行访问控制。
[0018]一方面,提供一种云防火墙配置装置,应用于防火墙后台服务器,该装置包括:
[0019]配置接收单元,用于接收云租户针对云防火墙设备的至少一种安全检测功能进行配置操作所触发的配置请求,所述配置请求携带所述至少一种安全检测功能各自对应的配置规则;
[0020]规则生成单元,用于基于至少一种配置规则,以及所述云租户关联的目标地址对象,分别对至少一种安全检测功能各自对应的规则模板进行填充处理,以生成所述至少一种安全检测功能各自对应的访问控制规则;
[0021]配置下发单元,用于将生成的访问控制规则,分别添加至所述云防火墙设备中相对应的安全检测策略组中,以使得所述云防火墙设备基于各安全检测策略组对携带所述目标地址对象的网络流量进行安全检测。
[0022]一方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一种方法的步骤。
[0023]一方面,提供一种计算机存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任一种方法的步骤。
[0024]一方面,提供一种计算机程序产品,该计算机程序产品包括计算机程序,该计算机程序存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机程序,处理器执行该计算机程序,使得该计算机设备执行上述任一种方法的步骤。
[0025]本申请实施例中,云租户可以针对每种安全检测功能下发配置规则,相应的,防火墙后台服务器可以基于配置规则和该安全检测功能的规则模板,来生成相应的访问控制规则,并下发到云防火墙设备中的相应安全检测策略组中,从而在云防火墙设备接收到网络流量,并确定该网络流量的目标地址对象已开启云防火墙功能时,则可以基于自身存储的各个安全检测策略组中的访问控制规则来对该网络流量进行规则匹配,若能够成功命中目标访问控制规则,则基于目标访问控制规则对该网络流量进行访问控制,从而通过本申请实施例的技术方案,能够从云租户粒度或者云租户关联的地址对象粒度来进行防火墙功能的配置,相应的,云防火墙设备则可以基于云租户粒度或者地址对象粒度进行流量访问控制,提升云防火墙对于流量防护的精准性。
附图说明
[0026]为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0027]图1为本申请实施例提供的应用场景示意图;
[0028]图2为本申请实施例提供的云防火墙系统的总体架构图;
[0029]图3为本申请实施例提供的云防火墙配置方法的一种流程示意图;
[0030]图4为本申请实施例提供的启动云防火墙功能的启动页面示意图;
[0031]图5a~图5b为本申请实施例提供的功能开关规则的结构示意图;
[0032]图6为本申请实施例提供的云防火墙配置方法本文档来自技高网
...

【技术保护点】

【技术特征摘要】
1.一种流量安全检测方法,其特征在于,应用于云防火墙设备,所述方法包括:接收携带有目标地址对象的网络流量,并将所述目标地址对象与本地存储的开关策略组包含的各参考地址对象进行对象匹配;所述各参考地址对象是响应于所述各参考地址对象各自所属的云租户的功能启动请求,添加至所述开关策略组中的;在匹配成功时,确定所述目标地址对象已开启云防火墙功能,并将所述网络流量,分别与多个安全检测策略组各自包含的访问控制规则进行规则匹配;其中,每个安全检测策略组对应一种安全检测功能,且每条访问控制规则是基于相应安全检测功能的规则模板,及云租户发送的配置规则所生成的;在匹配成功时,基于命中的目标访问控制规则对所述网络流量进行访问控制。2.如权利要求1所述的方法,其特征在于,将所述网络流量,分别与多个安全检测策略组各自包含的访问控制规则进行规则匹配,包括:基于所述多个安全检测策略组之间的优先级关系,依次分别将所述网络流量,与所述多个安全检测策略组各自包含的访问控制规则进行规则匹配。3.如权利要求2所述的方法,其特征在于,所述多个安全检测策略组包括白名单检测策略组、黑名单检测策略组和访问控制功能策略组;则所述基于所述多个安全检测策略组之间的优先级关系,依次将所述网络流量,分别与各个安全检测策略组包含的访问控制规则进行规则匹配,包括:将所述网络流量,分别与所述白名单检测策略组中的各个访问控制规则进行规则匹配;在匹配失败时,将所述网络流量,分别与所述黑名单检测策略组中的各个访问控制规则进行规则匹配处理;在匹配失败时,将所述网络流量,分别与所述访问控制功能策略组中的各个访问控制规则进行规则匹配处理。4.如权利要求1~3任一所述的方法,其特征在于,将所述网络流量,分别与多个安全检测策略组各自包含的访问控制规则进行规则匹配,包括:基于所述网络流量的流方向,确定相应的源安全域信息和目的安全域信息,并从所述网络流量中,提取相应的源地址信息和目的地址信息;针对各个访问控制规则,分别执行如下步骤:针对一个访问控制规则,将所述源安全域信息、所述目的安全域信息、所述源地址信息和所述目的地址信息,分别与所述访问控制规则中相应字段进行字段匹配。5.如权利要求4所述的方法,其特征在于,在基于所述网络流量的流方向,确定所述网络流量的源安全域信息和目的安全域信息之前,所述方法还包括:将接收所述网络流量的目标网络接口的接口标识,分别与预设的第一安全域和第二安全域中的接口标识进行标识匹配;其中,所述第一安全域中各个网络接口连接不可信网络,所述第二安全域中各个网络接口连接可信网络;若与所述第一安全域匹配成功,则确定所述网络流量的流方向为:入站方向;若与所述第二安全域匹配成功,则确定所述网络流量的流方向为:出站方向。6.如权利要求1~3任一所述的方法,其特征在于,在匹配成功时,基于命中的目标访问控制规则对所述网络流量进行访问控制,包括:
在匹配成功时,确定所述目标访问控制规则包括的开关字段是否为第三值;其中,所述第三值用于指示已开启入侵防御功能;若为第三值,确定所述目标地址对象已开启入侵防御功能,并将所述网络流量与所述目标访问控制规则关联的入侵防御模板进行规则匹配;若命中所述入侵防御模板中的入侵防御规则,则基于所述入侵防御模板指示的处置方式,对所述网络流量进行访问控制。7.一种云防火墙配置方法,其特征在于,应用于防火墙后台服务器,所述方法包括:接收云租户针对云防火墙设备的至少一种安全检测功能进行配置操作所触发的配置请求,所述配置请求携带所述至少一种安全检测功能各自对应的配置规则;基于至少一种配置规则,以及所述云租户关联的目标地址对象,分别对至少一种安全检测功能各自对应的规则模板进行填充处理,以生成所述至少一种安全检测功能各自对应的访问控制规则;将生成的访问控制规则,分别添加至所述云防火墙设备中相对应的安全检测策略组中,以使得所述云防火墙设备基于各安全检测策略组对携带所述目标地址对象的网络流量进行安全检测。8.如权利要求7所述的方法,其特征在于,基于至少一种配置规则,以及所述云租户关联的目标地址对象,分别对至少一种安全检测功能各自对应的规则模板进行填充处理,包括:针对所述至少一种安全检测功能,分别执行如下操作:针对一种安全检测功能,基于配置规则所指示的流方向填充规则模板中的安全域字段;若所述流方向为入站方向,则基于所述配置规则指示的地址对象填充对所述规则模板中的源地址字段,以及,基于所述目标地址对象填充所述规则模板中的目的地址字...

【专利技术属性】
技术研发人员:付言华
申请(专利权)人:腾讯云计算北京有限责任公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1