本申请实施例提供了一种基于云防火墙的防护方法、装置、设备及存储介质,属于云安全技术领域。该方法包括:对目标端口进行漏洞扫描,得到目标端口的漏洞和每一漏洞的评分值,目标端口为云租户内所有虚拟机的端口。将评分值大于预设的第一阈值的漏洞设置为目标漏洞,根据每一目标漏洞的评分值和预设的阈值参数从目标端口中筛选出危险端口,获取访问危险端口的目标网络协议地址。根据危险端口和目标网络协议地址生成第一限流防火墙规则,将第一限流防火墙规则发送至云租户,以通过云租户限制目标网络协议地址访问危险端口的网络流量,实现了云防火墙主动的进行防御,能够全面性的进行安全防护,提高了云网络的安全性。
【技术实现步骤摘要】
本申请涉及云安全,尤其涉及一种基于云防火墙的防护方法、装置、设备及存储介质。
技术介绍
1、防火墙(firewall)是一种用于检测网络流量安全性的网络安全设备,可基于对网络流量的检测结果或者预置的防火墙规则来决定是允许还是阻止网络流量通过。随着云网络技术的发展,云服务的使用也越来越广泛,随之而来的针对云服务场景的网络安全防护也愈加重要,因此,云防火墙作为云网络边界防护的重要安全设备,具备高性能、高稳定性是尤其重要的。相关技术中,云防火墙仅能被动的进行防御,即通过预先设定好的防火墙规则规定好要检测的端口和网络协议地址,仅能对规定好要检测的端口和网络协议地址进行防御,若其他未设定的端口和网络协议地址存在危险则无法进行检测,即无法全面性地进行安全防护,导致云网络的安全性不高。因此,如何提高云网络的安全性,成为了亟待解决的技术问题。
技术实现思路
1、本申请实施例的主要目的在于提出一种基于云防火墙的防护方法、装置、设备及存储介质,旨在提高云网络的安全性。
2、为实现上述目的,本申请实施例的第一方面提出了一种基于云防火墙的防护方法,所述方法包括:
3、对目标端口进行漏洞扫描,得到漏洞扫描数据;其中,所述漏洞扫描数据包括目标端口的漏洞和每一所述漏洞的评分值,所述目标端口为云租户内所有虚拟机的端口;
4、将评分值大于预设的第一阈值的漏洞设置为目标漏洞;
5、根据每一所述目标漏洞的所述评分值和预设的阈值参数从所述目标端口中筛选出危险端口;
<
p>6、获取所述危险端口的目标网络协议地址;其中,所述目标网络协议地址为访问所述危险端口的网络协议地址;7、根据所述危险端口和所述目标网络协议地址生成限流规则,得到第一限流防火墙规则;
8、将所述第一限流防火墙规则发送至所述云租户,以通过所述云租户限制所述目标网络协议地址访问所述危险端口的网络流量。
9、在一些实施例,所述阈值参数包括:第一预设均值和第一预设方差,所述根据每一所述目标漏洞的所述评分值和预设的阈值参数从所述目标端口中筛选出危险端口,包括:
10、获取每一所述目标漏洞的所述评分值的均值,得到漏洞评分均值;
11、获取每一所述目标漏洞的所述评分值之间的方差,得到漏洞评分方差;
12、若所述漏洞评分均值大于所述第一预设均值,且所述漏洞评分方差小于所述第一预设方差,则将所述目标端口设置为所述危险端口。
13、在一些实施例,所述获取所述危险端口的目标网络协议地址之后,所述方法还包括:
14、检测所述目标网络协议地址的网络流量,得到第一网络流量;
15、若所述第一网络流量大于预设的第二阈值,则将所述目标网络协议地址设置为危险网络协议地址;
16、根据所述危险端口和所述危险网络协议地址生成限流规则,得到第二限流防火墙规则;
17、将所述第二限流防火墙规则下发至所述云租户中,以通过所述云租户限制所述危险网络协议地址访问所述危险端口的网络流量。
18、在一些实施例,所述获取所述危险端口的目标网络协议地址之后,所述方法还包括:
19、在预设时间段内,根据预设周期检测所述目标网络协议地址的网络流量,得到多个第二网络流量;
20、获取多个所述第二网络流量的均值,得到第一流量均值;
21、获取多个所述第二网络流量之间的方差,得到第一流量方差;
22、若所述第一流量均值大于第二预设均值,且所述第一流量方差大于第二预设方差,则将所述目标网络协议地址设置为危险网络协议地址;
23、根据所述危险端口和所述危险网络协议地址生成限流规则,得到第三限流防火墙规则;
24、将所述第三限流防火墙规则下发至所述云租户中,以通过所述云租户限制所述危险网络协议地址访问所述危险端口的网络流量。
25、在一些实施例,所述目标网络协议地址设置为危险网络协议地址之后,所述方法还包括:
26、根据所述目标端口和所述危险网络协议地址生成限流规则,得到第四限流防火墙规则;
27、将所述第四限流防火墙规则下发至所述云租户中,以通过所述云租户限制所述危险网络协议地址访问所述目标端口的网络流量。
28、在一些实施例,所述方法还包括:
29、获取所述目标端口的候选网络协议地址;其中,所述候选网络协议地址为访问所述目标端口的网络协议地址;
30、检测所述候选网络协议地址的网络流量,得到第三网络流量;
31、若所述第三网络流量大于预设的第三阈值,则将所述候选网络协议地址设置为危险网络协议地址,且根据至少一个所述目标漏洞的所述评分值和预设的阈值参数判断出所述目标端口为危险端口;
32、则根据所述危险端口和所述危险网络协议地址生成限流规则,得到第二限流防火墙规则;
33、将所述第二限流防火墙规则下发至所述云租户中,以通过所述云租户限制所述危险网络协议地址访问所述危险端口的网络流量。
34、在一些实施例,所述方法还包括:
35、获取所述目标端口的候选网络协议地址;其中,所述候选网络协议地址为访问所述目标端口的网络协议地址;
36、在预设时间段内,根据预设周期检测所述候选网络协议地址的网络流量,得到多个第四网络流量;
37、获取多个所述第四网络流量的均值,得到第二流量均值;
38、获取多个所述第四网络流量之间的方差,得到第二流量方差;
39、若所述第二流量均值大于第二预设均值,且所述第二流量方差大于第二预设方差,则将所述候选网络协议地址设置为危险网络协议地址,且根据至少一个所述目标漏洞的所述评分值和预设的阈值参数判断出所述目标端口中为危险端口;
40、则根据所述危险端口和所述危险网络协议地址生成限流规则,得到第二限流防火墙规则;
41、将所述第二限流防火墙规则下发至所述云租户中,以通过所述云租户限制所述危险网络协议地址访问所述危险端口的网络流量。
42、为实现上述目的,本申请实施例的第二方面提出了一种基于云防火墙的防护装置,所述装置包括:
43、扫描模块,用于对目标端口进行漏洞扫描,得到漏洞扫描数据;其中,所述漏洞扫描数据包括目标端口的漏洞和每一所述漏洞的评分值,所述目标端口为云租户内所有虚拟机的端口;
44、设置模块,用于将评分值大于预设的第一阈值的漏洞设置为目标漏洞;
45、筛选模块,用于根据每一所述目标漏洞的所述评分值和预设的阈值参数从所述目标端口中筛选出危险端口;
46、获取模块,用于获取所述危险端口的目标网络协议地址;其中,所述目标网络协议地址为访问所述危险端口的网络协议地址;
47、生成模块,用于根据所述危险端口和所述目标网络协议地址生成限流规则,得到第一限流防火墙规则;
48、限制模块,用于本文档来自技高网
...
【技术保护点】
1.一种基于云防火墙的防护方法,其特征在于,应用于云防火墙服务器,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述阈值参数包括:第一预设均值和第一预设方差,所述根据每一所述目标漏洞的所述评分值和预设的阈值参数从所述目标端口中筛选出危险端口,包括:
3.根据权利要求1所述的方法,其特征在于,所述获取所述危险端口的目标网络协议地址之后,所述方法还包括:
4.根据权利要求1所述的方法,其特征在于,所述获取所述危险端口的目标网络协议地址之后,所述方法还包括:
5.根据权利要求3或4所述的方法,其特征在于,所述目标网络协议地址设置为危险网络协议地址之后,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
8.一种基于云防火墙的防护装置,其特征在于,所述装置包括:
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述的基于云防火墙的防护方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的基于云防火墙的防护方法。
...
【技术特征摘要】
1.一种基于云防火墙的防护方法,其特征在于,应用于云防火墙服务器,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述阈值参数包括:第一预设均值和第一预设方差,所述根据每一所述目标漏洞的所述评分值和预设的阈值参数从所述目标端口中筛选出危险端口,包括:
3.根据权利要求1所述的方法,其特征在于,所述获取所述危险端口的目标网络协议地址之后,所述方法还包括:
4.根据权利要求1所述的方法,其特征在于,所述获取所述危险端口的目标网络协议地址之后,所述方法还包括:
5.根据权利要求3或4所述的方法,其特征在于,所述目标网络协议地址设置为危险网络协议地址...
【专利技术属性】
技术研发人员:任进,
申请(专利权)人:华润数字科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。