一种云安全防御系统及其用户建立方法技术方案

技术编号:21166954 阅读:31 留言:0更新日期:2019-05-22 09:37
一种云安全防御系统及其用户建立方法,该系统包括:云智能DDNS模块和云安全节点模块;其中,所述云智能DDNS模块通过域名别名的方式将互联网用户对客户特定应用业务流量导入所述云安全节点进行安全检查、清洗和过滤,以排除对源站带来的安全威胁;所述云安全节点建立模块进行分布式流量清洗、过滤和检测功能,将纯净的用户业务流量通过HTTP代理的方式转发给源站,以隐藏和保护源站。本发明专利技术解决了传统服务商所采用的本地安全解决方案的局限性,大幅降低了用户的使用成本和交付时间的问题。

A Cloud Security Defense System and Its User Establishment Method

A cloud security defense system and its user establishment method include: cloud intelligent DDNS module and cloud security node module, in which the cloud intelligent DDNS module imports customer specific application traffic into the cloud security node for security inspection, cleaning and filtering through domain name alias to eliminate the security threat to the source station; The security node establishes a module to clean, filter and detect the distributed traffic, and forwards the pure user traffic to the source station by HTTP proxy to hide and protect the source station. The invention solves the limitation of the local security solution adopted by the traditional service provider, and greatly reduces the user's use cost and delivery time.

【技术实现步骤摘要】
一种云安全防御系统及其用户建立方法
本技术所属的
为计算机广域网领域,涉及到了云智能DDNS系统开发及云安全节点建立。
技术介绍
目前,主要是由传统安全厂商与运营商或IDC服务提供商联合构建的基于数据中心部署的安全防御系统。传统安全厂商依靠自身在安全领域的积累,通过与运营商及IDC服务提供商的合作,将完整的局域网安全解决方案部署在特定的运营商及IDC机房,用以为最终用户提供可靠的安全保障。随着互联网的高速发展,针对用户线上应用的攻击越来越频繁,传统的IDC本地部署的方式存在两个致命的缺陷:1.单IDC由于上行带宽资源有限,基本很难防御超过300G的攻击流量;2.用户会在多IDC部署线上应用,单一节点的防御体系无法满足客户的业务发展需求。针对传统安全厂商结合运营商、IDC服务商所采用的本地安全解决方案的局限性,云安全防御系统在基于运营商与IDC服务商的底层资源(带宽、机柜、电力等)的前提下,将用户需要安全服务保障的业务流量首先导入云安全防御系统做清洗和过滤,再由云安全防御系统利用HTTP代理转发的方式最终发送给源站实现用户对服务端的正常访问,最大限度地保护源站安全以及用户对源站的正常访问。
技术实现思路
为解决上述技术问题,本专利技术提供一种云安全防御系统,部署该云安全防御系统,客户仅需要一套云安全服务,即可实现对部署在多数据中心业务的集中防御;同时利用云安全防御系统的分布式防御体系,客户应用可轻松抵御1T以上的攻击流量。本专利技术提供了一种云安全防御系统,该系统包括:云智能DDNS模块和云安全节点模块;其中,所述云智能DDNS模块通过域名别名(CNAME)的方式将互联网用户对客户特定应用业务流量导入所述云安全节点进行安全检查、清洗和过滤,以排除对源站带来的安全威胁;所述云安全节点模块进行分布式流量清洗、过滤和检测功能,将纯净的用户业务流量通过HTTP代理的方式转发给源站,以隐藏和保护源站。本专利技术还提供了一种云安全防御系统的用户建立方法,该方法包括:步骤S1:用户需要将主域名在云安全防御系统中注册;步骤S2:所述主域名通过审核后,用户需要使用云安全防御服务的应用/主机;步骤S3:根据当前用户的实际防御需求,在web页面中购买相应防御带宽且无需做任何性能预留;步骤S4:服务即时生效。本专利技术还提供了云智能DDNS模块的处理方法,该方法包括:步骤D1:用户向本地DNS服务器请求域名查询;步骤D2:所述本地DNS服务器向所述DNS服务提供商(万网/新网)递归查询,并得到CNAME的NS记录返回给用户;步骤D3:用户向云智能DDNS发送对CNAME的查询;步骤D4:云智能DDNS根据请求用户的源IP地址及云安全节点库,分配给客户CNAME的云安全节点的IP地址;步骤D5:用户访问云安全节点。在一个实施例中,所述步骤D4还包括:云智能DDNS会根据各云安全节点的可用上行带宽、可用下行带宽及用户实际购买的防御服务带宽反馈给用户云安全节点的IP;用户发送域名请求给云安全节点;云安全节点根据预先配置好的HTTP代理转发表将用户请求转发给服务器源站,源IP地址为云安全节点。本专利技术还提供了一种云智能DDNS模块的处理方法,所述步骤S5还包括源站服务器根据本地路由表将回包流量发送给云安全节点;所述云安全节点根据HTTP代理转发表将服务器响应流量转发给用户。在一个实施例中,所述DNS服务提供商为万网或/和新网。本专利技术提供了一种云安全节点模块的建立方法,该方法包括:步骤L1:在安全节点防御集群上预先添加源站的URL和IP地址;步骤L2:对用户请求数据进行DDoS及WAF防御检测、清洗;步骤L3:将处理完毕的用户纯净流量通过HTTP代理转发的方式发送给源站,源IP为云安全节点IP。与现有技术相比,本专利技术的技术方案具有以下有益效果:解决了传统安全厂商结合运营商、IDC服务商所采用的本地安全解决方案的局限性,云安全防御系统在基于运营商与IDC服务商的底层资源(带宽、机柜、电力等)的前提下,将用户需要安全服务保障的业务流量首先导入云安全防御系统做清洗和过滤,再由云安全防御系统利用HTTP代理转发的方式最终发送给源站实现用户对服务端的正常访问,最大限度地保护源站安全以及用户对源站的正常访问。附图说明图1是传统安全厂商的安全防御系统的结构图;图2是本专利技术云智能DDNS系统的处理逻辑的流程图;图3是本专利技术云安全节点建立方法的流程图;图4是本专利技术云智能DDNS系统的处理逻辑的详细流程图;图5是本专利技术云安全防御系统的用户使用方法的流程图。具体实施方式本领域技术人员理解,如
技术介绍
所言,现有技术主要是由传统安全厂商与运营商或IDC(互联网数据中心,InternetDataCenter)服务提供商联合构建的基于数据中心部署的安全防御系统,随着互联网的高速发展,针对用户线上应用的攻击越来越频繁,传统的IDC本地部署的方式存在两个致命的缺陷:一个是单IDC由于上行带宽资源有限,基本很难防御超过300G的攻击流量;第二个是用户会在多IDC部署线上应用,单一节点的防御体系无法满足客户的业务发展需求。为解决上述问题,使本专利技术的上述目的、特征和有益效果能够更为明显易懂,下面结合附图对本专利技术的具体实施例做详细的说明。图1是由传统安全厂商与运营商或IDC服务提供商联合构建的基于数据中心部署的安全防御系统;针对传统安全厂商结合运营商、IDC服务商所采用的本地安全解决方案的局限性,云安全防御系统在基于运营商与IDC服务商的底层资源(带宽、机柜、电力等)的前提下,将用户需要安全服务保障的业务流量首先导入云安全防御系统做清洗和过滤,再由云安全防御系统利用HTTP代理转发的方式最终发送给源站实现用户对服务端的正常访问,最大限度地保护源站安全以及用户对源站的正常访问。部署云安全防御系统,客户仅需要一套云安全服务,即可实现对部署在多数据中心业务的集中防御;同时利用云安全防御系统的分布式防御体系,客户应用可轻松抵御1T以上的攻击流量。云安全防御系统技术方案包含两部分,即云智能DDNS系统和云安全节点建立。图2是云智能DDNS系统的处理逻辑流程图:云智能DDNS系统作为云安全防御体系的重要组成部分,担负着流量导入的工作。通过域名别名(CNAME)的方式将互联网用户对客户特定应用业务流量(需要被云防御的应用)导入云安全节点进行安全检查、清洗和过滤,以排除可能对源站带来的安全威胁。用户向本地DNS服务器请求www.XXX.com的域名查询;本地DNS服务器向DNS服务提供商(万网/新网)递归查询,并得到CNAME的NS记录返回给用户;用户向云智能DDNS发送对CNAME的查询;云智能DDNS根据请求用户的源IP地址及云安全节点库,分配给客户CNAME的A记录(云安全节点的IP地址);图3为云安全节点的架构图,云安全节点在云安全防御体系中的功能是作为分布式流量清洗、过滤、检测,将纯净的用户业务流量通过HTTP代理的方式转发给源站,起到隐藏和保护源站的目的,云安全节点的建立方法为:在安全节点防御集群上预先添加源站的URL和IP地址(A记录);对用户请求数据进行DDoS及WAF防御检测、清洗;将处理完毕的用户纯净流量通过HTTP代理转发的方式发送给源站,源IP为云安全节点IP。云安全防御本文档来自技高网
...

【技术保护点】
1.一种云安全防御系统,其特征在于,该系统包括:云智能DDNS模块和云安全节点模块;其中,所述云智能DDNS模块通过域名别名的方式将互联网用户对客户特定应用业务流量导入所述云安全节点进行安全检查、清洗和过滤,以排除对源站带来的安全威胁;所述云安全节点模块进行分布式流量清洗、过滤和检测功能,将纯净的用户业务流量通过HTTP代理的方式转发给源站,以隐藏和保护源站。

【技术特征摘要】
1.一种云安全防御系统,其特征在于,该系统包括:云智能DDNS模块和云安全节点模块;其中,所述云智能DDNS模块通过域名别名的方式将互联网用户对客户特定应用业务流量导入所述云安全节点进行安全检查、清洗和过滤,以排除对源站带来的安全威胁;所述云安全节点模块进行分布式流量清洗、过滤和检测功能,将纯净的用户业务流量通过HTTP代理的方式转发给源站,以隐藏和保护源站。2.一种如权利要求1所述的系统的用户建立方法,其特征在于,该方法包括:步骤S1:用户需要将主域名在云安全防御系统中注册;步骤S2:所述主域名通过审核后,用户需要使用云安全防御服务的应用/主机;步骤S3:根据当前用户的实际防御需求,在web页面中购买相应防御带宽且无需做任何性能预留;步骤S4:服务即时生效。3.一种如权利要求1所述的云智能DDNS模块的处理方法,其特征在于,该方法包括:步骤D1:用户向本地DNS服务器请求域名查询;步骤D2:所述本地DNS服务器向所述DNS服务提供商递归查询,并得到CNAME的NS记录返回给用户;步骤D3:用户向云智能DDNS发送对CNAME的查询;步骤D4:云智能DDNS根据请求用户的源IP地址及云安全节...

【专利技术属性】
技术研发人员:王佳张中良宋健高雪挺张顺唐杰
申请(专利权)人:北京星河星云信息技术有限公司北京星河世界集团有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1