【技术实现步骤摘要】
本申请涉及通信,尤其涉及一种通信系统及通信方法。
技术介绍
1、web应用防护系统(英文:web application firewall,简称:waf)服务是云服务不可或缺的一项基本服务,也是等保合格要求的基础服务之一。目前,公有云、私有云均需要提供waf服务。
2、云上waf服务包括两类模式,镜像模式以及云waf模式。当前云上waf服务更多采用云waf模式。云waf模式为通过修改域名的方式,将访问域名的业务流量牵引至云waf,云waf模式将防护清洗后的业务流量转发至网络(web)应用。
3、以域名www.xxx.com为例简要说明,在没有接入云上waf服务前,交换机内记录的dns解析是将域名与该域名的公网地址直接建立映射关系,即www.xxx.com--180.101.50.242。交换机接入云waf模式后,用户在web应用防火墙中添加防护域名(www.xxx.com)并设置回源信息(例如,交换机地址)。web应用防火墙为该防护域名分配唯一的cname地址(例如,www.a.yyy.com),该cname地址可将接收到的业务流量转发至防护域名,即www.a.yyy.com--180.101.50.242。同时,用户将交换机内在先记录的dns解析(www.xxx.com--180.101.50.242)修改为与cname地址的映射关系,即www.xxx.com--www.a.yyy.com。通过canme地址,交换机将访问防护域名的业务流量先牵引至web应用防火墙。web应用防火墙对访问防护域名的业务流
4、但是,现有的云waf模式也暴露出以下缺陷:1)用户需手动修改交换机内在先记录的dns解析并进行引流,操作复杂,不易实现自动化,而且存在延时。一般dns解析修改需要10分钟后方可生效;2)若黑客已知晓原始web应用的公网地址,其可以直接跳过云waf模式直接访问,未达到对web应用的防护。
技术实现思路
1、有鉴于此,本申请提供了一种通信系统及通信方法,用以解决现有云waf模式中手动修改dns解析、引流、延时以及跳过云waf模式访问的问题。
2、第一方面,本申请提供了一种通信系统,所述通信系统应用于waf集群,所述waf集群包括saas waf管理平台、lb节点以及多个waf节点;
3、所述saas waf管理平台,用于接收用户输入的启动saas服务请求,所述启动saas服务请求包括待防护的公网地址以及防护带宽;向所述lb节点发送第一配置文件,所述第一配置文件包括第一子配置文件;
4、所述lb节点,用于接收所述saas waf管理平台发送的所述第一配置文件,并从所述第一配置文件中获取所述第一子配置文件;根据所述第一子配置文件在本地配置虚服务以及所述虚服务的qos,所述虚服务包括所述待防护的公网地址,所述qos包括所述防护带宽;
5、其中,所述虚服务用于使业务流量到达所述lb节点后,所述lb节点将所述业务流量转发至对应的所述多个waf节点处。
6、第二方面,本申请提供了一种通信方法,所述方法应用于saas waf管理平台,所述saas waf管理平台处于waf集群内,所述waf集群还包括lb节点、多个waf节点,所述方法包括:
7、接收用户输入的启动saas服务请求,所述启动saas服务请求包括待防护的公网地址以及防护带宽;
8、向所述lb节点发送第一配置文件,所述第一配置文件包括第一子配置文件,以使得所述lb节点根据所述第一子配置文件在本地配置虚服务以及所述虚服务的qos,所述虚服务包括所述待防护的公网地址,所述qos包括所述防护带宽;
9、其中,所述虚服务用于使业务流量到达所述lb节点后,所述lb节点将所述业务流量转发至对应的所述多个waf节点处。
10、因此,应用本申请提供的通信系统及通信方法,saas waf管理平台,用于接收用户输入的启动saas服务请求,该启动saas服务请求包括待防护的公网地址以及防护带宽;向lb节点发送第一配置文件,该第一配置文件包括第一子配置文件;lb节点,用于接收saaswaf管理平台发送的第一配置文件,并从第一配置文件中获取第一子配置文件;根据第一子配置文件在本地配置虚服务以及虚服务的qos,虚服务包括待防护的公网地址,qos包括所述防护带宽;其中,虚服务用于使业务流量到达lb节点后,lb节点将业务流量转发至对应的多个waf节点处。
11、如此,通过waf集群包括的saas waf管理平台、lb节点以及多个waf节点,对到达云平台核心交换机中的预访问web应用的业务流量进行防护处理,以实现对云平台web应用的防护。解决了现有云waf模式中手动修改dns解析、引流、延时以及跳过云waf模式访问的问题。本申请提供的通信方法及系统,相对于现有镜像模式,实现了多租户共享使用web应用防护,节省资源占用;相对于现有云waf模式,引流方案更简单且生效及时,也避免了直接访问web应用的风险。
本文档来自技高网...【技术保护点】
1.一种通信系统,其特征在于,所述通信系统应用于WAF集群,所述WAF集群包括SaaSWAF管理平台、LB节点以及多个WAF节点;
2.根据权利要求1所述的系统,其特征在于,所述第一配置文件还包括第二子配置文件;
3.根据权利要求2所述的系统,其特征在于,所述SaaS WAF管理平台还用于,向作为提供所述实服务的多个WAF节点中的每个WAF节点分别发送第二配置文件,所述第二配置文件包括防护资产、代理规则以及防护策略;
4.根据权利要求1所述的系统,其特征在于,所述SaaS WAF管理平台与云平台包括的核心交换机之间已建立Netconf连接;
5.根据权利要求3所述的系统,其特征在于,所述WAF集群还包括日志节点;
6.根据权利要求5所述的系统,其特征在于,所述SaaS WAF管理平台还用于,接收所述用户输入的日志查看请求,所述日志查看请求包括日志属性;
7.根据权利要求3所述的系统,其特征在于,所述LB节点还用于,接收云平台包括的核心交换机发送的业务流量,所述业务流量包括的目的地址为所述待防护的公网地址;若本
8.一种通信方法,其特征在于,所述方法应用于SaaS WAF管理平台,所述SaaS WAF管理平台处于WAF集群内,所述WAF集群还包括LB节点、多个WAF节点,所述方法包括:
9.根据权利要求8所述的方法,其特征在于,所述第一配置文件还包括第二子配置文件,所述第二子配置文件用于使所述LB节点在本地配置源地址哈希的负载均衡算法,并在本地将所述多个WAF节点配置为与所述虚服务对应的实服务;
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
11.根据权利要求8所述的方法,其特征在于,所述SaaS WAF管理平台与云平台包括的核心交换机之间已建立Netconf连接,所述方法还包括:
12.根据权利要求8所述的方法,其特征在于,所述WAF集群还包括日志节点,所述方法还包括:
...【技术特征摘要】
1.一种通信系统,其特征在于,所述通信系统应用于waf集群,所述waf集群包括saaswaf管理平台、lb节点以及多个waf节点;
2.根据权利要求1所述的系统,其特征在于,所述第一配置文件还包括第二子配置文件;
3.根据权利要求2所述的系统,其特征在于,所述saas waf管理平台还用于,向作为提供所述实服务的多个waf节点中的每个waf节点分别发送第二配置文件,所述第二配置文件包括防护资产、代理规则以及防护策略;
4.根据权利要求1所述的系统,其特征在于,所述saas waf管理平台与云平台包括的核心交换机之间已建立netconf连接;
5.根据权利要求3所述的系统,其特征在于,所述waf集群还包括日志节点;
6.根据权利要求5所述的系统,其特征在于,所述saas waf管理平台还用于,接收所述用户输入的日志查看请求,所述日志查看请求包括日志属性;
7.根据权利要求3所述的系统,其特征在于,所述lb节点还用于,接收云平台包括的核心交换机发送的业务流量,所述业务流量包括的目的...
【专利技术属性】
技术研发人员:彭汝张,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。