【技术实现步骤摘要】
本专利技术涉及网络安全,特别涉及一种基于网络边车容器的网络访问控制方法。
技术介绍
1、随着信息技术的快速发展,为满足网络应用场景的业务需求通常基于容器(container)技术来进行网络配置,容器提供了封装运行环境的功能,同时也便于网络的搭建。基于容器搭建的网络环境存在因网络安全漏洞而被攻击的问题,攻击者通过漏洞进入容器,将现有环境利用为中继,通过反弹shell或者传输敏感数据到公用网络服务器。面对此种情况,提出设置公网白名单即只允许向某些特定域名或者ip地址的公用网络服务器传输数据,以保证网络安全。
2、然而,现有的公网白名单管控方案往往是通过机房出口nat(网络地址转换)防火墙来管控,nat防火墙是根据ip地址配置公网白名单对发起的访问请求进行检测,而在业务服务容器发起的访问请求未包含有ip地址时,nat防火墙便难以进行访问请求的检测,导致合法网络访问请求误拦截的情况;并且对于大规模的网络服务场景,出网数据流量可能达到上百gb,由于业务人员和研发人员配置白名单的不便性和滞后性,导致数据传输流量受损,使传统技术方案难以满足大规模、复杂的网络场景。
3、因此,提出一种基于网络边车容器的网络访问控制方法。
技术实现思路
1、为解决上述技术问题,本专利技术提供一种基于网络边车容器的网络访问控制方法,用以解决传统技术中nat防火墙仅依据ip地址进行访问检测以及配置白名单存在不便和滞后的问题。
2、本专利技术实施例中提供了一种基于网络边车容器的网络访问
3、在容器单元内部署业务服务容器和网络边车容器;
4、通过服务管控平台配置访问白名单,并同步至所述网络边车容器;
5、监测所述业务服务容器发起的网络访问请求时,在监测到所述网络访问请求为公网访问时,基于防火墙规则将公网访问请求劫持到所述网络边车容器;
6、通过所述网络边车容器对所述公网访问请求进行解析,获取所述公网访问请求中的协议类型和服务器关联信息;
7、根据所述协议类型在所述服务器关联信息中提取相应的服务器校验信息,并根据所述服务器校验信息在所述访问白名单内进行查询,在获取到所述访问白名单内包含有所述服务器校验信息时,根据所述公网访问请求,建立与所述公网服务器的通信连接进行数据传输。
8、优选的,本专利技术提供一种基于网络边车容器的网络访问控制方法,所述步骤:通过服务管控平台配置访问白名单,并同步至所述网络边车容器;包括:
9、所述服务管控平台设置有外部数据接口,研发人员通过外部数据接口对所述服务管控平台内的访问白名单进行配置。
10、优选的,本专利技术提供一种基于网络边车容器的网络访问控制方法,所述步骤:监测所述业务服务容器发起的网络访问请求时,在监测到所述网络访问请求为公网访问时,基于防火墙规则将公网访问请求劫持到所述网络边车容器;包括:
11、监测所述业务服务容器发起的网络访问请求时,在监测到所述网络访问请求为内网访问时,获取内网访问请求;
12、对所述内网访问请求进行解析,获取所述业务服务容器源地址信息、目标内网服务器ip地址以及端口协议;
13、基于内网访问规则,判断所述业务服务容器是否具有访问权限,在判断所述业务服务容器具有访问权限时,基于所述端口协议建立所述业务服务容器与目标内网服务器的通信连接。
14、优选的,本专利技术提供一种基于网络边车容器的网络访问控制方法,所述步骤:监测所述业务服务容器发起的网络访问请求时,在监测到所述网络访问请求为公网访问时,基于防火墙规则将公网访问请求劫持到所述网络边车容器;包括:
15、根据所述公网访问请求进行解析,获取所述业务服务容器源地址信息、业务端口号和目标公网服务器地址信息;
16、基于防火墙规则,将所述公网访问请求中的目标公网服务器地址信息更改为网络边车容器地址信息,将所述公网访问请求劫持到所述网络边车容器;可选的,包括:
17、基于防火墙规则,执行iptables命令;
18、{iptables-t nat-p datarules-r output-d network sidecar address-jaccept}
19、其中,iptables为命令提示符,-t nat为网络地址转换标志符,-p datarules改变原有数据传输规则,-r output替代原有的数据输出规则,-d network sidecar address为更改数据传输的目标地址为网络边车容器地址,-j accept使用更改后的规则传输数据。
20、优选的,本专利技术提供一种基于网络边车容器的网络访问控制方法,所述步骤:根据所述协议类型在所述服务器关联信息中提取相应的服务器校验信息,并根据所述服务器校验信息在所述访问白名单内进行查询,在获取到所述访问白名单内包含有所述服务器校验信息时,根据所述公网访问请求,建立与所述公网服务器的通信连接进行数据传输;包括:
21、在所述公网访问请求中的协议类型为超文本传输安全协议时,获取所述服务器关联信息中的域名信息,基于所述访问白名单中的域名白名单信息进行查询,在查询到所述域名白名单信息中包含有所述域名信息时,根据所述公网访问请求,建立与所述公网服务器的通信连接进行数据传输;
22、在所述公网访问请求中的协议类型为超文本传输协议时,获取所述服务器关联信息中的请求头域名信息,基于所述访问白名单中的域名白名单信息进行查询,在查询到所述域名白名单信息中包含有所述请求头域名信息时,根据所述公网访问请求,建立与所述公网服务器的通信连接进行数据传输;
23、在所述公网访问请求中的协议类型为传输控制协议或用户数据报协议时,获取所述服务器关联信息中的目标服务器ip地址信息,基于所述访问白名单中的ip白名单信息进行查询,在查询到所述ip白名单信息中包含有所述目标服务器ip地址信息,根据所述公网访问请求,建立与所述公网服务器的通信连接进行数据传输;
24、所述服务器校验信息,包括域名信息、请求头域名信息以及目标服务器ip地址信息。
25、优选的,本专利技术提供一种基于网络边车容器的网络访问控制方法,所述步骤:根据所述协议类型在所述服务器关联信息中提取相应的服务器校验信息,并根据所述服务器校验信息在所述访问白名单内进行查询,在获取到所述访问白名单内包含有所述服务器校验信息时,根据所述公网访问请求,建立与所述公网服务器的通信连接进行数据传输;还包括:
26、在查询到所述访问白名单内未包含有所述服务器校验信息时,根据所述公网访问请求禁止所述网络边车容器与所述公网服务器的通信连接,并向所述业务服务容器返回禁止访问提示信息。
27、优选的,本专利技术提供一种基于网络边车容器的网络访问控制方法,所述步骤:根据所述协议类型在所述服务器关联信息中提取相应的服务器校验信息,并根据所述服务器校验信息在所述访问白名单内进行查询本文档来自技高网...
【技术保护点】
1.一种基于网络边车容器的网络访问控制方法,其特征在于,包括:
2.根据权利要求1所述的一种基于网络边车容器的网络访问控制方法,其特征在于,所述步骤:通过服务管控平台配置访问白名单,并同步至所述网络边车容器;包括:
3.根据权利要求1所述的一种基于网络边车容器的网络访问控制方法,其特征在于,所述步骤:监测所述业务服务容器发起的网络访问请求时,在监测到所述网络访问请求为公网访问时,基于防火墙规则将公网访问请求劫持到所述网络边车容器;包括:
4.根据权利要求1所述的一种基于网络边车容器的网络访问控制方法,其特征在于,所述步骤:监测所述业务服务容器发起的网络访问请求时,在监测到所述网络访问请求为公网访问时,基于防火墙规则将公网访问请求劫持到所述网络边车容器;包括:
5.根据权利要求1所述的一种基于网络边车容器的网络访问控制方法,其特征在于,所述步骤:根据所述协议类型在所述服务器关联信息中提取相应的服务器校验信息,并根据所述服务器校验信息在所述访问白名单内进行查询,在获取到所述访问白名单内包含有所述服务器校验信息时,根据所述公网访问请求,建
6.根据权利要求1所述的一种基于网络边车容器的网络访问控制方法,其特征在于,所述步骤:根据所述协议类型在所述服务器关联信息中提取相应的服务器校验信息,并根据所述服务器校验信息在所述访问白名单内进行查询,在获取到所述访问白名单内包含有所述服务器校验信息时,根据所述公网访问请求,建立与所述公网服务器的通信连接进行数据传输;还包括:
7.根据权利要求1所述的一种基于网络边车容器的网络访问控制方法,其特征在于,所述步骤:根据所述协议类型在所述服务器关联信息中提取相应的服务器校验信息,并根据所述服务器校验信息在所述访问白名单内进行查询,在获取到所述访问白名单内包含有所述服务器校验信息时,根据所述公网访问请求,建立与所述公网服务器的通信连接进行数据传输;还包括:
8.根据权利要求1所述的一种基于网络边车容器的网络访问控制方法,其特征在于,所述步骤:根据所述协议类型在所述服务器关联信息中提取相应的服务器校验信息,并根据所述服务器校验信息在所述访问白名单内进行查询,在获取到所述访问白名单内包含有所述服务器校验信息时,根据所述公网访问请求,建立与所述公网服务器的通信连接进行数据传输;还包括:
9.根据权利要求8所述的一种基于网络边车容器的网络访问控制方法,其特征在于,所述步骤:获取所述通信子链路的实时传输数据量和链路资源占用情况,并进行归一化处理和分析,获取通信子链路的综合评估值;包括:
...【技术特征摘要】
1.一种基于网络边车容器的网络访问控制方法,其特征在于,包括:
2.根据权利要求1所述的一种基于网络边车容器的网络访问控制方法,其特征在于,所述步骤:通过服务管控平台配置访问白名单,并同步至所述网络边车容器;包括:
3.根据权利要求1所述的一种基于网络边车容器的网络访问控制方法,其特征在于,所述步骤:监测所述业务服务容器发起的网络访问请求时,在监测到所述网络访问请求为公网访问时,基于防火墙规则将公网访问请求劫持到所述网络边车容器;包括:
4.根据权利要求1所述的一种基于网络边车容器的网络访问控制方法,其特征在于,所述步骤:监测所述业务服务容器发起的网络访问请求时,在监测到所述网络访问请求为公网访问时,基于防火墙规则将公网访问请求劫持到所述网络边车容器;包括:
5.根据权利要求1所述的一种基于网络边车容器的网络访问控制方法,其特征在于,所述步骤:根据所述协议类型在所述服务器关联信息中提取相应的服务器校验信息,并根据所述服务器校验信息在所述访问白名单内进行查询,在获取到所述访问白名单内包含有所述服务器校验信息时,根据所述公网访问请求,建立与所述公网服务器的通信连接进行数据传输;包括:
6.根据权利要求1所述的一种基于网络边车容器的网络访问控制方法,其特征在于,所述步骤...
【专利技术属性】
技术研发人员:吕亚霖,
申请(专利权)人:北京百舸飞驰科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。