【技术实现步骤摘要】
流量安全检测和云防火墙配置方法、装置及设备
[0001]本申请涉及云安全(Cloud Security)
,尤其涉及云安全防护
,提供一种流量安全检测和云防火墙配置方法、装置及设备。
技术介绍
[0002]防火墙(Firewall)是一种用于检测网络流量安全性的网络安全设备,可基于对网络流量的检测结果或者预置的规则来决定是允许还是阻止网络流量通过。随着云网络技术的发展,云服务的使用也越来越广泛,随之而来的针对云服务场景的网络安全防护也愈加重要,因此,云防火墙作为云网络边界防护的重要安全设备,具备高性能、高稳定性是尤其重要的。
[0003]目前,云防火墙通常采用直接在云的网络出口处部署一套传统硬件防火墙来实现云的内外网之间的流量防护。而云服务器是面向大量的云租户的,且每个云租户都可能在云服务器部署有一个甚至多个网站,但是,传统硬件防火墙是基于传统的物理服务器而设的,而传统的物理服务器通常是提供单一网站的后台服务,因此传统硬件防火墙通常仅支持单一网站的流量防护规则的配置,从而传统硬件防火墙直接使用到云服务场景中时,无法识别每个云租户或者网站粒度的流量防护需求,使得流量防护的精准性不高。
技术实现思路
[0004]本申请实施例提供一种流量安全检测和云防火墙配置方法、装置及设备,用于实现云租户的流量防护规则配置和安全检测,提升云防火墙对于流量防护的精准性。
[0005]一方面,提供一种流量安全检测方法,应用于云防火墙设备,该方法包括:
[0006]接收携带有目标地址对象的网 ...
【技术保护点】
【技术特征摘要】
1.一种流量安全检测方法,其特征在于,应用于云防火墙设备,所述方法包括:接收携带有目标地址对象的网络流量,并将所述目标地址对象与本地存储的开关策略组包含的各参考地址对象进行对象匹配;所述各参考地址对象是响应于所述各参考地址对象各自所属的云租户的功能启动请求,添加至所述开关策略组中的;在匹配成功时,确定所述目标地址对象已开启云防火墙功能,并将所述网络流量,分别与多个安全检测策略组各自包含的访问控制规则进行规则匹配;其中,每个安全检测策略组对应一种安全检测功能,且每条访问控制规则是基于相应安全检测功能的规则模板,及云租户发送的配置规则所生成的;在匹配成功时,基于命中的目标访问控制规则对所述网络流量进行访问控制。2.如权利要求1所述的方法,其特征在于,将所述网络流量,分别与多个安全检测策略组各自包含的访问控制规则进行规则匹配,包括:基于所述多个安全检测策略组之间的优先级关系,依次分别将所述网络流量,与所述多个安全检测策略组各自包含的访问控制规则进行规则匹配。3.如权利要求2所述的方法,其特征在于,所述多个安全检测策略组包括白名单检测策略组、黑名单检测策略组和访问控制功能策略组;则所述基于所述多个安全检测策略组之间的优先级关系,依次将所述网络流量,分别与各个安全检测策略组包含的访问控制规则进行规则匹配,包括:将所述网络流量,分别与所述白名单检测策略组中的各个访问控制规则进行规则匹配;在匹配失败时,将所述网络流量,分别与所述黑名单检测策略组中的各个访问控制规则进行规则匹配处理;在匹配失败时,将所述网络流量,分别与所述访问控制功能策略组中的各个访问控制规则进行规则匹配处理。4.如权利要求1~3任一所述的方法,其特征在于,将所述网络流量,分别与多个安全检测策略组各自包含的访问控制规则进行规则匹配,包括:基于所述网络流量的流方向,确定相应的源安全域信息和目的安全域信息,并从所述网络流量中,提取相应的源地址信息和目的地址信息;针对各个访问控制规则,分别执行如下步骤:针对一个访问控制规则,将所述源安全域信息、所述目的安全域信息、所述源地址信息和所述目的地址信息,分别与所述访问控制规则中相应字段进行字段匹配。5.如权利要求4所述的方法,其特征在于,在基于所述网络流量的流方向,确定所述网络流量的源安全域信息和目的安全域信息之前,所述方法还包括:将接收所述网络流量的目标网络接口的接口标识,分别与预设的第一安全域和第二安全域中的接口标识进行标识匹配;其中,所述第一安全域中各个网络接口连接不可信网络,所述第二安全域中各个网络接口连接可信网络;若与所述第一安全域匹配成功,则确定所述网络流量的流方向为:入站方向;若与所述第二安全域匹配成功,则确定所述网络流量的流方向为:出站方向。6.如权利要求1~3任一所述的方法,其特征在于,在匹配成功时,基于命中的目标访问控制规则对所述网络流量进行访问控制,包括:
在匹配成功时,确定所述目标访问控制规则包括的开关字段是否为第三值;其中,所述第三值用于指示已开启入侵防御功能;若为第三值,确定所述目标地址对象已开启入侵防御功能,并将所述网络流量与所述目标访问控制规则关联的入侵防御模板进行规则匹配;若命中所述入侵防御模板中的入侵防御规则,则基于所述入侵防御模板指示的处置方式,对所述网络流量进行访问控制。7.一种云防火墙配置方法,其特征在于,应用于防火墙后台服务器,所述方法包括:接收云租户针对云防火墙设备的至少一种安全检测功能进行配置操作所触发的配置请求,所述配置请求携带所述至少一种安全检测功能各自对应的配置规则;基于至少一种配置规则,以及所述云租户关联的目标地址对象,分别对至少一种安全检测功能各自对应的规则模板进行填充处理,以生成所述至少一种安全检测功能各自对应的访问控制规则;将生成的访问控制规则,分别添加至所述云防火墙设备中相对应的安全检测策略组中,以使得所述云防火墙设备基于各安全检测策略组对携带所述目标地址对象的网络流量进行安全检测。8.如权利要求7所述的方法,其特征在于,基于至少一种配置规则,以及所述云租户关联的目标地址对象,分别对至少一种安全检测功能各自对应的规则模板进行填充处理,包括:针对所述至少一种安全检测功能,分别执行如下操作:针对一种安全检测功能,基于配置规则所指示的流方向填充规则模板中的安全域字段;若所述流方向为入站方向,则基于所述配置规则指示的地址对象填充对所述规则模板中的源地址字段,以及,基于所述目标地址对象填充所述规则模板中的目的地址字...
【专利技术属性】
技术研发人员:付言华,
申请(专利权)人:腾讯云计算北京有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。