[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN107864062A - 一种容器防火墙系统部署方法 - Google Patents

一种容器防火墙系统部署方法 Download PDF

Info

Publication number
CN107864062A
CN107864062A CN201711317697.5A CN201711317697A CN107864062A CN 107864062 A CN107864062 A CN 107864062A CN 201711317697 A CN201711317697 A CN 201711317697A CN 107864062 A CN107864062 A CN 107864062A
Authority
CN
China
Prior art keywords
container
fire wall
network
host
firewall system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711317697.5A
Other languages
English (en)
Other versions
CN107864062B (zh
Inventor
兰国语
刘晓毅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronic Technology Cyber Security Co Ltd
Original Assignee
China Electronic Technology Cyber Security Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electronic Technology Cyber Security Co Ltd filed Critical China Electronic Technology Cyber Security Co Ltd
Publication of CN107864062A publication Critical patent/CN107864062A/zh
Application granted granted Critical
Publication of CN107864062B publication Critical patent/CN107864062B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • G06F8/63Image based installation; Cloning; Build to order
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明完成对部署在同一宿主机上面的容器应用的访问控制、报文过滤、防网络攻击、流量限制等功能。而以容器方式部署防火墙的优势在于以一种轻量级的方式部署防火墙,并不会占用宿主机过多的资源,维护成本低;同时不需要对现有的容器业务的网络拓扑结构进行改变,部署简单。

Description

一种容器防火墙系统部署方法
技术领域
本发明涉及虚拟桌面领域,具体地说,本发明涉及一种容器防火墙系统部署方法。
背景技术
以docker为代表的容器技术凭借其轻量级,部署方便、简洁等优势迅速流行开来。大量的容器在部署时以网络应用的方式呈现,会受到来自网络的攻击入侵,安全问题是极其重要的一环,一旦某一容器应用被攻击,由于容器网络拓扑以及自身存在的特点,导致运行同一宿主机上的容器都会崩溃,极大地影响了业务部署的安全性和稳定性,对用户造成极大地损失。另外,在容器部署的方案中,由于安全原因,经常需要对业务进行严格的访问控制、流量限制等功能。
发明内容
为了解决上述问题,本发明提供一种容器防火墙系统部署方法。本发明的一种容器防火墙系统部署方法,包括如下步骤:
s1、将防火墙以容器方式封装形成防火墙容器镜像;
s2、在宿主机上启动封装好的防火墙容器镜像,设置容器防火墙的网络模式为host模式,使容器防火墙完全共享宿主机网络协议栈数据,拥有访问宿主机网络接口的完整权限,同时设置容器防火墙具有特权选项的参数,使其具有配置相关网络的权限;
s3、将非防火墙所在的容器的网络模式设置为桥接模式且不指定容器的特权privileged选项;
s4、容器防火墙实时监控并同步宿主机的NAT表中的容器链中的端口映射数据,容器防火墙为每一个容器存储一个数组,用于记录容器对外暴露的端口及容器内部的IP和端口的数组;
s5、容器防火墙通过容器相关的接口获取正在运行的容器镜像名称,管理员通过web管理界面对容器的访问规则进行设置,将设置的规则参数保存在相关的配置文件中;
s6、将管理员设置的访问规则应用于容器,容器防火墙根据配置文件中的参数生成相应的报文过滤函数对进入宿主机的网络数据包进行筛选;
s7、启动防火墙之后,记录宿主机中所有运行中的容器镜像的进程ID;
s8、容器防火墙对所有进入宿主机的网络数据包进行过滤,然后对所有通过容器防火墙过滤的网络报文数据进行安全标记;
s9、进程请求获取网络数据;
s10、判断请求获取网络数据的进程是否是非容器防火墙所在的容器进程,若是,转到步骤s12,若否,转到步骤s11;
s11、同意此进程请求;
s12、判断进程请求获取的网络数据是否有安全标记,若是,转到步骤s10;若否,转到步骤s14;
s13、同意此进程请求;
s14、拒绝此进程请求。
其中,所述容器防火墙对进入宿主机的网络数据包进行筛选,并将安全网络数据返回至宿主机网络层以后续转发到相应容器,包括针对来源或发往容器的数据流量进行过滤,根据匹配容器对外暴露的宿主机端口,对报文的发送源IP地址和端口或者报文的目的IP地址和端口与记录的正在运行的容器对外暴露的IP地址和端口匹配的报文进行处理,得到筛选后的报文流量。
管理员通过web管理界面设置流量限制、IP访问控制、防网络攻击的访问规则。所述容器防火墙依照管理员设置的访问规则,根据相关配置文件中的参数生成相应的报文过滤函数。对于筛选后的报文流量,根据所述相应的报文过滤函数对其进行过滤,丢弃不符合规则的流量,对符合规则的流量进行下一步分析。针对符合规则的流量,按照地址进行详细的分类数据统计、日志记录,针对管理员做了限制的容器镜像的流量,根据限制规则对超出的报文流量进行相应的丢弃或转发。
此外,在防网络攻击模式下,容器防火墙对每个容器进行访问流量统计、行为分析、日志记录、网络攻击检测,并给出相应的应对方法,然后将攻击流量进行丢弃。
采用本发明完成对部署在同一宿主机上面的容器应用的访问控制、报文过滤、防网络攻击、流量限制等功能。而以容器方式部署防火墙的优势在于以一种轻量级的方式部署防火墙,并不会占用宿主机过多的资源,维护成本低;同时不需要对现有的容器业务的网络拓扑结构进行改变,部署简单。
附图说明
图1是本发明的容器防火墙系统部署方法展示结果示意图;
图2是本发明的容器防火墙系统部署方法实施流程示意图。
具体实施方式
为了更好的理解本发明,下面结合附图详细说明本发明。
如图1和2所示,本发明提供一种容器防火墙系统部署方法。本发明的一种容器防火墙系统部署方法,包括如下步骤:
s1、将防火墙以容器方式封装形成防火墙容器镜像;
s2、在宿主机上启动封装好的防火墙容器镜像,设置容器防火墙的网络模式为host模式,使容器防火墙完全共享宿主机网络协议栈数据,拥有访问宿主机网络接口的完整权限,同时设置容器防火墙具有特权选项的参数,使其具有配置相关网络的权限;
s3、将非防火墙所在的容器的网络模式设置为桥接模式且不指定容器的特权privileged选项;
s4、容器防火墙实时监控并同步宿主机的NAT表中的容器链中的端口映射数据,容器防火墙为每一个容器存储一个数组,用于记录容器对外暴露的端口及容器内部的IP和端口的数组;
s5、容器防火墙通过容器相关的接口获取正在运行的容器镜像名称,管理员通过web管理界面对容器的访问规则进行设置,将设置的规则参数保存在相关的配置文件中;
s6、将管理员设置的访问规则应用于容器,容器防火墙根据配置文件中的参数生成相应的报文过滤函数对进入宿主机的网络数据包进行筛选;
s7、启动防火墙之后,记录宿主机中所有运行中的容器镜像的进程ID;
s8、容器防火墙对所有进入宿主机的网络数据包进行过滤,然后对所有通过容器防火墙过滤的网络报文数据进行安全标记;
s9、进程请求获取网络数据;
s10、判断请求获取网络数据的进程是否是非容器防火墙所在的容器进程,若是,转到步骤s12,若否,转到步骤s11;
s11、同意此进程请求;
s12、判断进程请求获取的网络数据是否有安全标记,若是,转到步骤s10;若否,转到步骤s14;
s13、同意此进程请求;
s14、拒绝此进程请求。
其中,所述容器防火墙对进入宿主机的网络数据包进行筛选,并将安全网络数据返回至宿主机网络层以后续转发到相应容器,包括针对来源或发往容器的数据流量进行过滤,根据匹配容器对外暴露的宿主机端口,对报文的发送源IP地址和端口或者报文的目的IP地址和端口与记录的正在运行的容器对外暴露的IP地址和端口匹配的报文进行处理,得到筛选后的报文流量。
管理员通过web管理界面设置流量限制、IP访问控制、防网络攻击的访问规则。所述容器防火墙依照管理员设置的访问规则,根据相关配置文件中的参数生成相应的报文过滤函数。对于筛选后的报文流量,根据所述相应的报文过滤函数对其进行过滤,丢弃不符合规则的流量,对符合规则的流量进行下一步分析。针对符合规则的流量,按照地址进行详细的分类数据统计、日志记录,针对管理员做了限制的容器镜像的流量,根据限制规则对超出的报文流量进行相应的丢弃或转发。
此外,在防网络攻击模式下,容器防火墙对每个容器进行访问流量统计、行为分析、日志记录、网络攻击检测,并给出相应的应对方法,然后将攻击流量进行丢弃。
采用本发明完成对部署在同一宿主机上面的容器应用的访问控制、报文过滤、防网络攻击、流量限制等功能。而以容器方式部署防火墙的优势在于以一种轻量级的方式部署防火墙,并不会占用宿主机过多的资源,维护成本低;同时不需要对现有的容器业务的网络拓扑结构进行改变,部署简单。针对现有容器网络应用存在被攻击安全隐患,本发明采用一种容器方式部署防火墙的方法,利用了容器应用轻量级的特点,在不占用过多的资源,不改变已有容器应用网络拓扑结构的情况下,从宿主机网络协议栈直接筛选获取网络数据,达到对容器应用进行访问控制、报文过滤、防网络攻击、流量限制等安全防护的目的;同时为了防止容器应用绕过防火墙非法获取网络数据,通过对网络报文数据进行安全标记的方法保证了容器防火墙功能有效性和稳定性。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。

Claims (7)

1.一种容器防火墙系统部署方法,其特征在于,所述容器防火墙系统部署方法包括如下步骤:
s1、将防火墙以容器方式封装形成防火墙容器镜像;
s2、在宿主机上启动封装好的防火墙容器镜像,设置容器防火墙的网络模式为host模式,使容器防火墙完全共享宿主机网络协议栈数据,拥有访问宿主机网络接口的完整权限,同时设置容器防火墙具有特权选项的参数,使其具有配置相关网络的权限;
s3、将非防火墙所在的容器的网络模式设置为桥接模式且不指定容器的特权privileged选项;
s4、容器防火墙实时监控并同步宿主机的NAT表中的容器链中的端口映射数据,容器防火墙为每一个容器存储一个数组,用于记录容器对外暴露的端口及容器内部的IP和端口的数组;
s5、容器防火墙通过容器相关的接口获取正在运行的容器镜像名称,管理员通过web管理界面对容器的访问规则进行设置,将设置的规则参数保存在相关的配置文件中;
s6、将管理员设置的访问规则应用于容器,容器防火墙根据配置文件中的参数生成相应的报文过滤函数对进入宿主机的网络数据包进行筛选;
s7、启动防火墙之后,记录宿主机中所有运行中的容器镜像的进程ID;
s8、容器防火墙对所有进入宿主机的网络数据包进行过滤,然后对所有通过容器防火墙过滤的网络报文数据进行安全标记;
s9、进程请求获取网络数据;
s10、判断请求获取网络数据的进程是否是非容器防火墙所在的容器进程,若是,转到步骤s12,若否,转到步骤s11;
s11、同意此进程请求;
s12、判断进程请求获取的网络数据是否有安全标记,若是,转到步骤s10;若否,转到步骤s14;
s13、同意此进程请求;
s14、拒绝此进程请求。
2.根据权利要求1所述的容器防火墙系统部署方法,其特征在于,
所述容器防火墙对进入宿主机的网络数据包进行筛选,并将安全网络数据返回至宿主机网络层以后续转发到相应容器,包括针对来源或发往容器的数据流量进行过滤,根据匹配容器对外暴露的宿主机端口,对报文的发送源IP地址和端口或者报文的目的IP地址和端口与记录的正在运行的容器对外暴露的IP地址和端口匹配的报文进行处理,得到筛选后的报文流量。
3.根据权利要求2所述的容器防火墙系统部署方法,其特征在于,管理员通过web管理界面设置流量限制、IP访问控制、防网络攻击的访问规则。
4.根据权利要求3所述的容器防火墙系统部署方法,其特征在于,所述容器防火墙依照管理员设置的访问规则,根据相关配置文件中的参数生成相应的报文过滤函数。
5.根据权利要求4所述的容器防火墙系统部署方法,其特征在于,对于筛选后的报文流量,根据所述相应的报文过滤函数对其进行过滤,丢弃不符合规则的流量,对符合规则的流量进行下一步分析。
6.根据权利要求5所述的容器防火墙系统部署方法,其特征在于,针对符合规则的流量,按照地址进行详细的分类数据统计、日志记录,针对管理员做了限制的容器镜像的流量,根据限制规则对超出的报文流量进行相应的丢弃或转发。
7.根据权利要求1-6任一所述的容器防火墙系统部署方法,其特征在于,在防网络攻击模式下,容器防火墙对每个容器进行访问流量统计、行为分析、日志记录、网络攻击检测,并给出相应的应对方法,然后将攻击流量进行丢弃。
CN201711317697.5A 2016-12-14 2017-12-12 一种容器防火墙系统部署方法 Active CN107864062B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2016111548964 2016-12-14
CN201611154896 2016-12-14

Publications (2)

Publication Number Publication Date
CN107864062A true CN107864062A (zh) 2018-03-30
CN107864062B CN107864062B (zh) 2021-02-09

Family

ID=61705936

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711317697.5A Active CN107864062B (zh) 2016-12-14 2017-12-12 一种容器防火墙系统部署方法

Country Status (1)

Country Link
CN (1) CN107864062B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413069A (zh) * 2018-10-29 2019-03-01 北京百悟科技有限公司 基于区块链的虚拟网站防火墙的应用方法及装置
CN112631601A (zh) * 2020-12-24 2021-04-09 深信服科技股份有限公司 一种容器编排引擎的应用防火墙部署方法、装置及设备
CN113221103A (zh) * 2021-05-08 2021-08-06 山东英信计算机技术有限公司 一种容器安全防护方法、系统及介质
CN113342468A (zh) * 2021-06-23 2021-09-03 山石网科通信技术股份有限公司 容器数据处理方法及装置
CN114900350A (zh) * 2022-04-29 2022-08-12 北京元数智联技术有限公司 报文传输方法、装置、设备、存储介质及程序产品
CN114978610A (zh) * 2022-04-29 2022-08-30 北京火山引擎科技有限公司 一种流量传输控制方法、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9231911B2 (en) * 2006-10-16 2016-01-05 Aruba Networks, Inc. Per-user firewall
CN105635329A (zh) * 2014-11-03 2016-06-01 中兴通讯股份有限公司 上网日志生成方法和装置
CN105681305A (zh) * 2016-01-15 2016-06-15 北京工业大学 一种sdn防火墙系统及实现方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9231911B2 (en) * 2006-10-16 2016-01-05 Aruba Networks, Inc. Per-user firewall
CN105635329A (zh) * 2014-11-03 2016-06-01 中兴通讯股份有限公司 上网日志生成方法和装置
CN105681305A (zh) * 2016-01-15 2016-06-15 北京工业大学 一种sdn防火墙系统及实现方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
LATSAMY CHANTHAVONG: ""IMPLEMENTATION FIREWALL COMBINED WITH IPS O PREVENT DOS/MALICIOUS ATTACK"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *
张磊: ""安全网络构建中防火墙技术的研究与应用"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413069A (zh) * 2018-10-29 2019-03-01 北京百悟科技有限公司 基于区块链的虚拟网站防火墙的应用方法及装置
CN109413069B (zh) * 2018-10-29 2021-11-12 北京百悟科技有限公司 基于区块链的虚拟网站防火墙的应用方法及装置
CN112631601A (zh) * 2020-12-24 2021-04-09 深信服科技股份有限公司 一种容器编排引擎的应用防火墙部署方法、装置及设备
CN112631601B (zh) * 2020-12-24 2024-04-12 深信服科技股份有限公司 一种容器编排引擎的应用防火墙部署方法、装置及设备
CN113221103A (zh) * 2021-05-08 2021-08-06 山东英信计算机技术有限公司 一种容器安全防护方法、系统及介质
CN113221103B (zh) * 2021-05-08 2022-09-20 山东英信计算机技术有限公司 一种容器安全防护方法、系统及介质
CN113342468A (zh) * 2021-06-23 2021-09-03 山石网科通信技术股份有限公司 容器数据处理方法及装置
CN113342468B (zh) * 2021-06-23 2023-08-08 山石网科通信技术股份有限公司 容器数据处理方法及装置
CN114900350A (zh) * 2022-04-29 2022-08-12 北京元数智联技术有限公司 报文传输方法、装置、设备、存储介质及程序产品
CN114978610A (zh) * 2022-04-29 2022-08-30 北京火山引擎科技有限公司 一种流量传输控制方法、装置、设备及存储介质
CN114900350B (zh) * 2022-04-29 2024-02-20 北京元数智联技术有限公司 报文传输方法、装置、设备、存储介质及程序产品
CN114978610B (zh) * 2022-04-29 2024-05-28 北京火山引擎科技有限公司 一种流量传输控制方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN107864062B (zh) 2021-02-09

Similar Documents

Publication Publication Date Title
CN107864062A (zh) 一种容器防火墙系统部署方法
US10699026B2 (en) Internal controls engine and reporting of events generated by a network or associated applications
US10057234B1 (en) Systems and methods for providing network security monitoring
EP3400691B1 (en) Efficient packet capture for cyber threat analysis
US20170366395A1 (en) Automated sensing of network conditions for dynamically provisioning efficient vpn tunnels
Lakkaraju et al. NVisionIP: netflow visualizations of system state for security situational awareness
US8874766B2 (en) System and method for flexible network access control policies in a network environment
CN106941480A (zh) 具有威胁可视化和自动安全设备控制的集成安全系统
TWI727059B (zh) 處理網路流量的方法及裝置
US8667556B2 (en) Method and apparatus for building and managing policies
CN104301321B (zh) 一种实现分布式网络安全防护的方法及系统
US7853687B2 (en) Access control list generation and validation tool
CN110401624A (zh) 源网荷系统交互报文异常的检测方法及系统
CN109981344A (zh) 扫描方法、装置及网络转发设备
CN103457920B (zh) 一种基于重叠网的分布式防火墙安全策略配置方法和系统
CN105847300B (zh) 企业网络边界设备拓扑结构的可视化方法及装置
US12113833B2 (en) Distributed network and security operations platform
CN106650425B (zh) 一种安全沙箱的控制方法及装置
Nife et al. Application-aware firewall mechanism for software defined networks
Santos Network Security with NetFlow and IPFIX: Big Data Analytics for Information Security
CN109495508A (zh) 基于服务访问数据的防火墙配置方法
CN106713050A (zh) 一种网络拓扑展示方法及装置
Yu et al. An adaptive approach to network resilience: Evolving challenge detection and mitigation
CN110391988A (zh) 网络流量控制方法、系统及安全防护装置
Meena et al. HyPASS: Design of hybrid-SDN prevention of attacks of source spoofing with host discovery and address validation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant