一种实时应用集群防护方法技术

本申请公开了一种实时应用集群防护方法

【技术实现步骤摘要】
一种实时应用集群防护方法、装置、设备及存储介质


[0001]本专利技术涉及计算机
，特别涉及一种实时应用集群防护方法
、
装置
、
设备及存储介质
。

技术介绍

[0002]数据库防火墙需要对数据库连接进行代理以达到安全管控的目的，在反向代理部署中，对
oracle rac(Oracle real application clusters
，实时应用集群
)
由于数据库特性存在无法防护的问题
。oracle rac
在云环境或虚拟化环境中用的越来越多，目前不支持防护，有很大的安全隐患
。
对于一般的数据库只是通过数据库的
ip(Internet Protocol Address
，互联网协议地址
)
端口进行代理即可，如数据库
ip
为
1.1.1.1
，数据库端口为
3306
，数据库防火墙
ip
为
1.1.1.2
，在数据库防火墙上配置代理端口
13306
，所有访问
13306
的数据重定向到
1.1.1.1
的
3306
，用户访问
1.1.1.2
的
13306
达到代理效果
。
而
oracle rac
有特殊性，由2台及以上的节点组成集群
oracle rac
有三种
ip
概念，
scan ip
：集群
ip
，对外访问；
vip(Virtual IP Address
，虚拟
ip
地址
)
：虚拟
ip
每个节点的浮动
ip
；
public ip
：节点
ip
；实际的
oracle rac
使用中主要涉及
scan ip
和
vip
，不会用到
public ip。
连接
oracle rac
实际是产生2次连接过程，第一次连接
scan ip(
告知下次连接的
vip)
，第二次连接
vip(
实际操作
sql(Structured Query Language
，结构化查询语言
))。
因此如何解决数据库防火墙无法对
oracle rac
通过反向代理方式来进行安全管控是目前需要关注的
。

技术实现思路

[0003]有鉴于此，本专利技术的目的在于提供一种实时应用集群防护方法
、
装置
、
设备及存储介质，能够通过识别返回的下次连接的
vip
数据包特征，并通过模拟改写成数据库防火墙的
ip
，达到支持对
oracle rac
防护的目的
。
其具体方案如下：
[0004]第一方面，本申请公开了一种实时应用集群防护方法，包括：
[0005]将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口，并识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包；
[0006]从所述目标数据包中获取下次连接的目标虚拟
ip
，并从预先配置的若干第二反向代理连接端口中查找与所述目标虚拟
ip
对应的目标反向代理连接端口；
[0007]将所述目标反向代理连接端口配置为所述数据库防火墙的反向代理连接端口，以及将所述目标数据包中的各虚拟
ip
对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口，以得到替换后数据包，并对所述替换后数据包进行放行，以便客户端下次自动连接所述数据库防火墙的与所述目标虚拟
ip
对应的所述目标反向代理连接端口
。
[0008]可选的，所述将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口之前，还包括：
[0009]配置反向代理连接端口集；其中，所述反向代理连接端口集中包括与
scan ip
对应的第一反向代理连接端口以及与若干虚拟
ip
分别对应的若干第二反向代理连接端口
。
[0010]可选的，所述识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包之后，还包括：
[0011]断开连接所述数据库防火墙的所述第一反向代理连接端口
。
[0012]可选的，利用预设的实时应用集群数据包协议格式将所述目标数据包中的各虚拟
ip
对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口
。
[0013]可选的，所述方法还包括：
[0014]基于所述替换后数据包中数据长度的变化更新相应的数据长度字段
。
[0015]第二方面，本申请公开了一种实时应用集群防护装置，包括：
[0016]目标数据包获取模块，用于将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口，并识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包；
[0017]端口查找模块，用于从所述目标数据包中获取下次连接的目标虚拟
ip
，并从预先配置的若干第二反向代理连接端口中查找与所述目标虚拟
ip
对应的目标反向代理连接端口；
[0018]端口替换模块，用于将所述目标反向代理连接端口配置为所述数据库防火墙的反向代理连接端口，以及将所述目标数据包中的各虚拟
ip
对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口，以得到替换后数据包；
[0019]数据包放行模块，用于对所述替换后数据包进行放行，以便客户端下次自动连接所述数据库防火墙的与所述目标虚拟
ip
对应的所述目标反向代理连接端口
。
[0020]第三方面，本申请公开了一种电子设备，包括：
[0021]存储器，用于保存计算机程序；
[0022]处理器，用于执行所述计算机程序以实现前述的实时应用集群防护方法
。
[0023]第四方面，本申请公开了一种计算机可读存储介质，用于保存计算机程序，所述计算机程序被处理器执行时实现前述的实时应用集群防护方法
。
[0024]本申请在对实时应用集群进行防护时，首先将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口，并识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包；之后从所述目标数据包中获取下次连接的目标虚本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种实时应用集群防护方法，其特征在于，包括：将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口，并识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包；从所述目标数据包中获取下次连接的目标虚拟
ip
，并从预先配置的若干第二反向代理连接端口中查找与所述目标虚拟
ip
对应的目标反向代理连接端口；将所述目标反向代理连接端口配置为所述数据库防火墙的反向代理连接端口，以及将所述目标数据包中的各虚拟
ip
对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口，以得到替换后数据包，并对所述替换后数据包进行放行，以便客户端下次自动连接所述数据库防火墙的与所述目标虚拟
ip
对应的所述目标反向代理连接端口
。2.
根据权利要求1所述的实时应用集群防护方法，其特征在于，所述将第一反向代理连接端口配置为客户端用于连接数据库防火墙的端口之前，还包括：配置反向代理连接端口集；其中，所述反向代理连接端口集中包括与
scan ip
对应的第一反向代理连接端口以及与若干虚拟
ip
分别对应的若干第二反向代理连接端口
。3.
根据权利要求1所述的实时应用集群防护方法，其特征在于，所述识别数据库对所述第一反向代理连接端口接收到的访问请求进行响应后得到的目标数据包之后，还包括：断开连接所述数据库防火墙的所述第一反向代理连接端口
。4.
根据权利要求1所述的实时应用集群防护方法，其特征在于，所述将所述目标数据包中的各虚拟
ip
对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口，包括：利用预设的实时应用集群数据包协议格式将所述目标数据包中的各虚拟
ip
对应的各所述第二反向代理连接端口均替换为所述目标反向代理连接端口
。5.
根据权利要求1至4任一项所述的实时应用集群防护方法，其特征在于，还包括：基于所述替换后数据包中数据长度的变化更新相应的数据长度...

【专利技术属性】
技术研发人员：邵宛岩，杨海东，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：