CN107835179A - 一种基于虚拟化容器的应用程序防护方法与装置 - Google Patents
一种基于虚拟化容器的应用程序防护方法与装置 Download PDFInfo
- Publication number
- CN107835179A CN107835179A CN201711121041.6A CN201711121041A CN107835179A CN 107835179 A CN107835179 A CN 107835179A CN 201711121041 A CN201711121041 A CN 201711121041A CN 107835179 A CN107835179 A CN 107835179A
- Authority
- CN
- China
- Prior art keywords
- application
- computer
- application program
- container
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于虚拟化容器的应用程序防护方法与装置,包括:监听外部端口并获取来自外部的应用程序访问请求;从应用程序访问请求的数据包中提取应用层信息;使用防火墙策略过滤应用层信息,生成合法应用层信息;将合法应用层信息传送到应用程序容器进行处理。本发明提出的基于虚拟化容器的应用程序防护方法与装置能够有效保护服务器系统的应用层安全,免受SQL注入、跨站脚本、信息泄露等攻击手段的影响。
Description
技术领域
本发明涉及网络安全领域,更具体地,特别是指一种基于虚拟化容器的应用程序防护方法与装置。
背景技术
随着互联网技术的飞速发展,基于Web和数据库结合的B/S(浏览器/服务器)架构应用已经广泛使用于企业内部和外部的业务系统中,Web系统发挥着越来越重要的作用。与此同时,越来越多的Web系统也因为存在安全隐患而频繁遭受到各种攻击,导致Web系统敏感数据、页面被篡改、甚至成为传播木马的傀儡,最终会给更多访问者造成伤害,带来严重损失。
针对Web系统前端,防火墙、入侵防御等网络安全设备已被广泛部署,网络访问控制策略设置也颇为严格,一般只开放HTTP等必要的服务端口,因此黑客已经难以通过传统网络层攻击方式(查找并攻击操作系统漏洞、数据库漏洞)攻击网站。然而,Web应用程序漏洞的存在更加普遍,随着Web应用技术的深入普及,Web应用程序漏洞发掘和攻击速度越来越快,基于Web漏洞的攻击更容易被利用,已经成为黑客首选。
当下信息安全攻击有75%都是发生在应用层而非网络层面上。应用层安全形势堪忧,主要是存在以下几个问题:大多数Web系统设计只关注正常应用而未关注代码安全;应用层安全防御措施滞后,甚至没有真正的防御;黑客入侵未及时发现,被用来作为跳板攻击其它应用系统。
面对如此严重的应用层安全问题,部署应用防火墙是一种最为有效的手段。然而,在云计算模式下,虚拟网络使得传统意义上网络边界变得非常模糊,传统的防火墙、IDS(入侵检测系统)、IPS(入侵防御系统)等网络安全设备部署在物理网络的边界,无法对同一云平台内部不同应用之间的通信进行控制,一旦云平台的某一应用从内部直接向其他应用进行攻击,就能绕过所有的网络边界防护措施,从而直接威胁到应用甚至整个云计算平台的安全。
针对现有技术中云平台上的应用防火墙不能有效保护应用层的问题,目前尚未有有效的解决方案。
发明内容
有鉴于此,本发明实施例的目的在于提出一种基于虚拟化容器的应用程序防护方法与装置,能够针对不同应用或不同类型的应用进行基于虚拟化容器的应用程序防护,有效保护服务器系统的应用层安全,免受SQL注入、跨站脚本、信息泄露等攻击手段的影响。
基于上述目的,本发明实施例的一方面提供了一种基于虚拟化容器的应用程序防护方法,应用于服务器,包括以下步骤:
监听外部端口并获取来自外部的应用程序访问请求;
从应用程序访问请求的数据包中提取应用层信息;
使用防火墙策略过滤应用层信息,生成合法应用层信息;
将合法应用层信息传送到应用程序容器进行处理。
在一些实施方式中,还包括以下步骤:
应用程序容器处理后产生反馈信息;
使用防火墙策略过滤反馈信息,生成合法反馈信息;
将合法反馈信息打包并通过外部接口进行反馈。
在一些实施方式中,防火墙策略以防火墙参数的形式记载于策略库中。
在一些实施方式中,策略库连接至特定的编程接口,防火墙策略通过编程接口进行配置。
在一些实施方式中,请求访问的应用程序设置于应用程序容器中。
在一些实施方式中,防火墙策略在应用程序容器启动时生效,并且防火墙策略与应用程序容器共享网络名称空间与外部网络地址。
本发明实施例的另一方面,还提供了一种基于虚拟化容器的应用程序防护装置,应用于服务器,包括反向代理服务器、策略库与编程接口,使用了上述方法。
本发明实施例的另一方面,还提供了一种计算机设备,包括存储器、至少一个处理器以及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时执行上述的方法。
本发明实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时执行上述的方法。
本发明实施例的另一方面,还提供了一种计算机程序产品,计算机程序产品包括存储在计算机可读存储介质上的计算程序,计算程序包括指令,当指令被计算机执行时,使计算机执行上述方法。
本发明具有以下有益技术效果:本发明实施例提供的基于虚拟化容器的应用程序防护方法与装置,通过监听外部端口并获取来自外部的应用程序访问请求,从数据包中提取应用层信息,使用防火墙策略过滤并传送到应用程序容器进行处理的技术方案,有效保护服务器系统的应用层安全,免受SQL注入、跨站脚本、信息泄露等攻击手段的影响。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于虚拟化容器的应用程序防护方法的第一个实施例的流程示意图;
图2为本发明提供的基于虚拟化容器的应用程序防护装置的第一个实施例的结构示意图;
图3为本发明提供的执行所述基于虚拟化容器的应用程序防护方法的计算机设备的一个实施例的硬件结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
基于上述目的,本发明实施例的第一个方面,提出了一种能够针对不同应用或不同类型的应用进行基于虚拟化容器的应用程序防护方法的第一个实施例。图1示出的是本发明提供的基于虚拟化容器的应用程序防护方法的第一个实施例的流程示意图。
所述基于虚拟化容器的应用程序防护方法,可选地,应用于服务器,包括以下步骤:
步骤S101,监听外部端口并获取来自外部的应用程序访问请求;
步骤S103,从应用程序访问请求的数据包中提取应用层信息;
步骤S105,使用防火墙策略过滤应用层信息,生成合法应用层信息;
步骤S107,将合法应用层信息传送到应用程序容器进行处理。
在一些实施方式中,还包括以下步骤:
应用程序容器处理后产生反馈信息;
使用防火墙策略过滤反馈信息,生成合法反馈信息;
将合法反馈信息打包并通过外部接口进行反馈。
其中,可选地,防火墙策略对应用程序容器产生的反馈信息也进行相同的过滤处理。这是为了应对来自系统内部的网络攻击而采取的技术手段,如果一个特定应用程序被感染,这使得其他应用程序不会受到影响。
在一些实施方式中,防火墙策略以防火墙参数的形式记载于策略库中。
在一些实施方式中,策略库连接至特定的编程接口,防火墙策略通过编程接口进行配置。
其中,可选地,策略库也设置于一个容器内。可以认为策略库是一个特殊的应用,策略库与一般应用连接至不同的外部端口;一般应用连接至公用的外部端口,而策略库连接至特定的编程接口,通过特定的编程接口,特定的应用程序可以从外部访问与读写防火墙参数,进而修改防火墙策略。
在一些实施方式中,请求访问的应用程序设置于应用程序容器中。
在一些实施方式中,防火墙策略在应用程序容器启动时生效,并且防火墙策略与应用程序容器共享网络名称空间与外部网络地址。
其中,可选地,通过共享网络名称空间与外部网络地址,防火墙策略起到反向代理服务器的作用。
从上述实施例可以看出,本发明实施例提供的基于虚拟化容器的应用程序防护方法,通过监听外部端口并获取来自外部的应用程序访问请求,从数据包中提取应用层信息,使用防火墙策略过滤并传送到应用程序容器进行处理的技术方案,有效保护服务器系统的应用层安全,免受SQL注入、跨站脚本、信息泄露等攻击手段的影响。
本发明实施例还提出了一种能够针对不同应用或不同类型的应用进行基于虚拟化容器的应用程序防护方法的第二个实施例。
虚拟应用防火墙以docker镜像容器的形式发布,在应用容器启动时一起启动,并和应用容器共用一个网络名称空间,因此虚拟防火墙容器和应用容器共用一个外部IP。
虚拟应用防火墙的核心是一个反向代理服务器。反向代理服务器可以代理外部网络访问内部网络,根据配置监听外部IP端口。反向代理服务器通过接受外部网络的连接请求,获取访问应用的网络包,并进行排序、重组以提取应用层信息。反向代理服务器中运行有一个策略引擎,策略引擎启动时加载防火墙策略,并将提取的应用层信息和防火墙策略进行对比,过滤掉攻击流量,并将合法的应用层信息转发到内部网络,由应用容器进行处理。应用处理完后,将返回信息转发到反向代理服务器,反向代理服务器策略引擎对返回信息再进行一次过滤,并将合法返回信息通过外部IP发送到外部网络。虚拟应用防火墙做反向代理时,对网络流量进行解析,并同防火墙策略进行比对,清洗攻击流量,保护应用安全。
虚拟防火墙对外提供RESTFul API接口,供外部程序进行防火墙参数与策略库配置。
从上述实施例可以看出,本发明实施例提供的基于虚拟化容器的应用程序防护方法,通过监听外部端口并获取来自外部的应用程序访问请求,从数据包中提取应用层信息,使用防火墙策略过滤并传送到应用程序容器进行处理的技术方案,有效保护服务器系统的应用层安全,免受SQL注入、跨站脚本、信息泄露等攻击手段的影响。
需要特别指出的是,上述基于虚拟化容器的应用程序防护方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于基于虚拟化容器的应用程序防护方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在所述实施例之上。
基于上述目的,本发明实施例的第二个方面,提出了一种能够针对不同应用或不同类型的应用进行基于虚拟化容器的应用程序防护装置的第一个实施例。所述基于虚拟化容器的应用程序防护装置,应用于服务器,包括反向代理服务器、策略库与编程接口,并且使用了上述的基于虚拟化容器的应用程序防护方法。图2示出的是本发明提供的基于虚拟化容器的应用程序防护装置的第一个实施例的结构示意图。
如图2所示,以Apache应用服务器为基础构建虚拟防火墙docker容器镜像,配置Apache监听一个固定端口,并在此固定端口上提供RESTFul API接口,实现配置应用端口和策略库的功能。然后配置Apache监听应用端口(例如,默认的80端口),并将应用端口的Apache工作模式配置为反向代理模式。在Apache应用服务器上以Apache模块插件的方式实现策略引擎,并沿图2所示虚线之路径实现应用层信息解析、策略加载、策略比对等功能。虚拟防火墙功能测试完毕后,将Apache应用服务器、配置文件、策略引擎模块等封装成一个docker镜像,并配置启动运行参数,沿图2所示实线之路径使应用程序工作。
本发明实施例提供的基于虚拟化容器的应用程序防护装置,通过监听外部端口并获取来自外部的应用程序访问请求,从数据包中提取应用层信息,使用防火墙策略过滤并传送到应用程序容器进行处理的技术方案,有效保护服务器系统的应用层安全,免受SQL注入、跨站脚本、信息泄露等攻击手段的影响。
需要特别指出的是,上述基于虚拟化容器的应用程序防护装置的实施例采用了所述基于虚拟化容器的应用程序防护方法的实施例来具体说明各模块的工作过程,本领域技术人员能够很容易想到,将这些模块应用到所述基于虚拟化容器的应用程序防护方法的其他实施例中。当然,由于所述基于虚拟化容器的应用程序防护方法实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于所述基于虚拟化容器的应用程序防护装置也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在所述实施例之上。
基于上述目的,本发明实施例的第三个方面,提出了一种执行所述基于虚拟化容器的应用程序防护方法的计算机设备的一个实施例。
所述执行所述基于虚拟化容器的应用程序防护方法的计算机设备包括存储器、至少一个处理器以及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时执行上述任意一种方法。
如图3所示,为本发明提供的执行所述基于虚拟化容器的应用程序防护方法的计算机设备的一个实施例的硬件结构示意图。
以如图3所示的计算机设备为例,在该计算机设备中包括一个处理器301以及一个存储器302,并还可以包括:输入装置303和输出装置304。
处理器301、存储器302、输入装置303和输出装置304可以通过总线或者其他方式连接,图3中以通过总线连接为例。
存储器302作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的所述基于虚拟化容器的应用程序防护方法对应的程序指令/模块。处理器301通过运行存储在存储器302中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的基于虚拟化容器的应用程序防护方法。
存储器302可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据基于虚拟化容器的应用程序防护装置的使用所创建的数据等。此外,存储器302可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器302可选包括相对于处理器301远程设置的存储器,这些远程存储器可以通过网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置303可接收输入的数字或字符信息,以及产生与基于虚拟化容器的应用程序防护装置的用户设置以及功能控制有关的键信号输入。输出装置304可包括显示屏等显示设备。
所述一个或者多个基于虚拟化容器的应用程序防护方法对应的程序指令/模块存储在所述存储器302中,当被所述处理器301执行时,执行上述任意方法实施例中的基于虚拟化容器的应用程序防护方法。
所述执行所述基于虚拟化容器的应用程序防护方法的计算机设备的任何一个实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
基于上述目的,本发明实施例的第四个方面,提出了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的基于虚拟化容器的应用程序防护方法与实现上述任意装置实施例中的基于虚拟化容器的应用程序防护装置。所述计算机可读存储介质的实施例,可以达到与之对应的前述任意方法与装置实施例相同或者相类似的效果。
基于上述目的,本发明实施例的第五个方面,提出了一种计算机程序产品,该计算机程序产品包括存储在计算机可读存储介质上的计算程序,该计算机程序包括指令,当该指令被计算机执行时,使该计算机执行上述任意方法实施例中的基于虚拟化容器的应用程序防护方法与实现上述任意装置实施例中的基于虚拟化容器的应用程序防护装置。所述计算机程序产品的实施例,可以达到与之对应的前述任意方法与装置实施例相同或者相类似的效果。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。所述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,典型地,本发明实施例公开所述的装置、设备等可为各种电子终端设备,例如手机、个人数字助理(PDA)、平板电脑(PAD)、智能电视等,也可以是大型终端设备,如服务器等,因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开所述的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。
此外,根据本发明实施例公开的方法还可以被实现为由CPU执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
此外,应该明白的是,本文所述的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的,非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)或快闪存储器。易失性存储器可以包括随机存取存储器(RAM),该RAM可以充当外部高速缓存存储器。作为例子而非限制性的,RAM可以以多种形式获得,比如同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDR SDRAM)、增强SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)以及直接Rambus RAM(DRRAM)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里所述功能的下列部件来实现或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器,但是可替换地,处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。
结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器,使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中,所述存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中,处理器和存储介质可以作为分立组件驻留在用户终端中。
在一个或多个示例性设计中,所述功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将所述功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”(“a”、“an”、“the”)旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上所述的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种基于虚拟化容器的应用程序防护方法,其特征在于,应用于服务器,包括以下步骤:
监听外部端口并获取来自外部的应用程序访问请求;
从所述应用程序访问请求的数据包中提取应用层信息;
使用防火墙策略过滤所述应用层信息,生成合法应用层信息;
将所述合法应用层信息传送到应用程序容器进行处理。
2.根据权利要求1所述的方法,其特征在于,还包括以下步骤:
所述应用程序容器处理后产生反馈信息;
使用所述防火墙策略过滤所述反馈信息,生成合法反馈信息;
将所述合法反馈信息打包并通过外部接口进行反馈。
3.根据权利要求1或2所述的方法,其特征在于,所述防火墙策略以防火墙参数的形式记载于策略库中。
4.根据权利要求3所述的方法,其特征在于,所述策略库连接至特定的编程接口,所述防火墙策略通过所述编程接口进行配置。
5.根据权利要求1或2所述的方法,其特征在于,请求访问的应用程序设置于所述应用程序容器中。
6.根据权利要求1或2所述的方法,其特征在于,所述防火墙策略在所述应用程序容器启动时生效,并且所述防火墙策略与所述应用程序容器共享网络名称空间与外部网络地址。
7.一种基于虚拟化容器的应用程序防护装置,其特征在于,包括反向代理服务器、策略库与编程接口,所述应用程序防护装置使用了如权利要求1-6中任意一项所述的方法。
8.一种计算机设备,包括存储器、至少一个处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如权利要求1-6任意一项所述的方法。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行权利要求1-6任意一项所述的方法。
10.一种计算机程序产品,其特征在于,所述计算机程序产品包括存储在计算机可读存储介质上的计算程序,所述计算程序包括指令,当所述指令被计算机执行时,使所述计算机执行权利要求1-6任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711121041.6A CN107835179B (zh) | 2017-11-14 | 2017-11-14 | 一种基于虚拟化容器的应用程序防护方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711121041.6A CN107835179B (zh) | 2017-11-14 | 2017-11-14 | 一种基于虚拟化容器的应用程序防护方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107835179A true CN107835179A (zh) | 2018-03-23 |
| CN107835179B CN107835179B (zh) | 2021-05-04 |
Family
ID=61654392
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711121041.6A Active CN107835179B (zh) | 2017-11-14 | 2017-11-14 | 一种基于虚拟化容器的应用程序防护方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107835179B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019184137A1 (zh) * | 2018-03-26 | 2019-10-03 | 平安科技(深圳)有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
| CN110351219A (zh) * | 2018-04-02 | 2019-10-18 | 蓝盾信息安全技术有限公司 | 一种基于网闸系统的数据库安全访问技术 |
| CN112764878A (zh) * | 2021-01-13 | 2021-05-07 | 中科曙光(南京)计算技术有限公司 | 一种基于深度学习的大数据一体机容器集群风险预测方法 |
| CN114172698A (zh) * | 2021-11-19 | 2022-03-11 | 重庆川仪自动化股份有限公司 | 一种业务请求处理方法、Web服务器、设备及介质 |
| CN114978610A (zh) * | 2022-04-29 | 2022-08-30 | 北京火山引擎科技有限公司 | 一种流量传输控制方法、装置、设备及存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1555170A (zh) * | 2003-12-23 | 2004-12-15 | 沈阳东软软件股份有限公司 | 流过滤防火墙 |
| CN101707619B (zh) * | 2009-12-10 | 2012-11-21 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
| US20130019314A1 (en) * | 2011-07-14 | 2013-01-17 | International Business Machines Corporation | Interactive virtual patching using a web application server firewall |
| CN103825953A (zh) * | 2014-03-04 | 2014-05-28 | 武汉理工大学 | 一种用户模式加密文件系统 |
| CN103973700A (zh) * | 2014-05-21 | 2014-08-06 | 成都达信通通讯设备有限公司 | 移动终端预设联网地址防火墙隔离应用系统 |
| CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
| CN105210323A (zh) * | 2013-03-15 | 2015-12-30 | 鲁库斯无线公司 | 区域化组播服务 |
| CN105391703A (zh) * | 2015-10-28 | 2016-03-09 | 南方电网科学研究院有限责任公司 | 一种基于云的web应用防火墙系统及其安全防护方法 |
| CN105721479A (zh) * | 2016-03-02 | 2016-06-29 | 北京网康科技有限公司 | 一种网址过滤方法及装置 |
| US20160191564A1 (en) * | 2014-12-24 | 2016-06-30 | Oracle International Corporation | Pluggable api firewall filter |
| CN105871845A (zh) * | 2016-03-31 | 2016-08-17 | 深圳市深信服电子科技有限公司 | Web漏洞扫描行为的检测方法及装置 |
| CN106160226A (zh) * | 2016-07-28 | 2016-11-23 | 全球能源互联网研究院 | 一种提高智能变电站ptp对时精度的方法 |
| CN107026821A (zh) * | 2016-02-01 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 报文的处理方法及装置 |
-
2017
- 2017-11-14 CN CN201711121041.6A patent/CN107835179B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1555170A (zh) * | 2003-12-23 | 2004-12-15 | 沈阳东软软件股份有限公司 | 流过滤防火墙 |
| CN101707619B (zh) * | 2009-12-10 | 2012-11-21 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
| US20130019314A1 (en) * | 2011-07-14 | 2013-01-17 | International Business Machines Corporation | Interactive virtual patching using a web application server firewall |
| CN105210323A (zh) * | 2013-03-15 | 2015-12-30 | 鲁库斯无线公司 | 区域化组播服务 |
| CN103825953A (zh) * | 2014-03-04 | 2014-05-28 | 武汉理工大学 | 一种用户模式加密文件系统 |
| CN103973700A (zh) * | 2014-05-21 | 2014-08-06 | 成都达信通通讯设备有限公司 | 移动终端预设联网地址防火墙隔离应用系统 |
| US20160191564A1 (en) * | 2014-12-24 | 2016-06-30 | Oracle International Corporation | Pluggable api firewall filter |
| CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
| CN105391703A (zh) * | 2015-10-28 | 2016-03-09 | 南方电网科学研究院有限责任公司 | 一种基于云的web应用防火墙系统及其安全防护方法 |
| CN107026821A (zh) * | 2016-02-01 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 报文的处理方法及装置 |
| CN105721479A (zh) * | 2016-03-02 | 2016-06-29 | 北京网康科技有限公司 | 一种网址过滤方法及装置 |
| CN105871845A (zh) * | 2016-03-31 | 2016-08-17 | 深圳市深信服电子科技有限公司 | Web漏洞扫描行为的检测方法及装置 |
| CN106160226A (zh) * | 2016-07-28 | 2016-11-23 | 全球能源互联网研究院 | 一种提高智能变电站ptp对时精度的方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019184137A1 (zh) * | 2018-03-26 | 2019-10-03 | 平安科技(深圳)有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
| CN110351219A (zh) * | 2018-04-02 | 2019-10-18 | 蓝盾信息安全技术有限公司 | 一种基于网闸系统的数据库安全访问技术 |
| CN112764878A (zh) * | 2021-01-13 | 2021-05-07 | 中科曙光(南京)计算技术有限公司 | 一种基于深度学习的大数据一体机容器集群风险预测方法 |
| CN112764878B (zh) * | 2021-01-13 | 2024-04-23 | 中科曙光(南京)计算技术有限公司 | 一种基于深度学习的大数据一体机容器集群风险预测方法 |
| CN114172698A (zh) * | 2021-11-19 | 2022-03-11 | 重庆川仪自动化股份有限公司 | 一种业务请求处理方法、Web服务器、设备及介质 |
| CN114978610A (zh) * | 2022-04-29 | 2022-08-30 | 北京火山引擎科技有限公司 | 一种流量传输控制方法、装置、设备及存储介质 |
| CN114978610B (zh) * | 2022-04-29 | 2024-05-28 | 北京火山引擎科技有限公司 | 一种流量传输控制方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107835179B (zh) | 2021-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107835179A (zh) | 一种基于虚拟化容器的应用程序防护方法与装置 | |
| US9535731B2 (en) | Dynamic security sandboxing based on intruder intent | |
| CN102932329B (zh) | 一种对程序的行为进行拦截的方法、装置和客户端设备 | |
| CN106302337B (zh) | 漏洞检测方法和装置 | |
| Van Acker et al. | WebJail: least-privilege integration of third-party components in web mashups | |
| US8353036B2 (en) | Method and system for protecting cross-domain interaction of a web application on an unmodified browser | |
| Chen et al. | App isolation: get the security of multiple browsers with just one | |
| CN102546576B (zh) | 一种网页挂马检测和防护方法、系统及相应代码提取方法 | |
| US9576145B2 (en) | Alternate files returned for suspicious processes in a compromised computer network | |
| JP6326497B2 (ja) | 動的アプリケーションセキュリティ検証 | |
| US8458785B2 (en) | Information security protection host | |
| CN103268442B (zh) | 一种实现安全访问视频网站的方法和装置 | |
| CN107181769A (zh) | 一种网络入侵防御系统与方法 | |
| CN104468546A (zh) | 一种网络信息处理方法及防火墙装置、系统 | |
| CN106682529A (zh) | 一种防篡改方法和防篡改终端 | |
| CN103648049B (zh) | 一种实现安全播放视频的方法和装置 | |
| JP2009223375A (ja) | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム | |
| CN104506529B (zh) | 网站防护方法和装置 | |
| JP2014525638A (ja) | アプリケーションのためのコンテンツの管理 | |
| JP2013156798A (ja) | 記憶装置、アクセスパターンの秘匿方法およびプログラム | |
| Snyder et al. | {Pool-Party}: Exploiting browser resource pools for web tracking | |
| Garrison | Digital forensics for network, Internet, and cloud computing: a forensic evidence guide for moving targets and data | |
| Telikicherla et al. | CORP: a browser policy to mitigate web infiltration attacks | |
| CN114978691B (zh) | 一种蜜罐的伪装方法、装置及介质 | |
| KR102040080B1 (ko) | 자바스크립트 자기보호 장치 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 250104 No. 2877 Kehang Road, Sun Village Town, Jinan High-tech Zone, Shandong Province Applicant after: Chaoyue Technology Co.,Ltd. Address before: 250104 No. 2877 Kehang Road, Sun Village Town, Jinan High-tech Zone, Shandong Province Applicant before: SHANDONG CHAOYUE DATA CONTROL ELECTRONICS Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Application program protection method and device based on Virtualization container Effective date of registration: 20211104 Granted publication date: 20210504 Pledgee: China Merchants Bank Co.,Ltd. Jinan Branch Pledgor: Chaoyue Technology Co.,Ltd. Registration number: Y2021370000126 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20230413 Granted publication date: 20210504 Pledgee: China Merchants Bank Co.,Ltd. Jinan Branch Pledgor: Chaoyue Technology Co.,Ltd. Registration number: Y2021370000126 |