[发明专利]提供web应用防火墙服务的方法和设备

说明书

本发明提供一种提供web应用防火墙服务的方法和设备，用于解决用户在想对运行在云上的多台虚拟机中运行的web应用进行安全防护时需要把DNS解析先指到第三方，容易造成数据安全隐患的问题。其中方法包括接收WAF容器镜像；执行第一预设指令，将WAF容器镜像安装到用户所指示的虚拟机中；执行第二预设指令配置虚拟机，使基于WAF容器镜像生成的WAF容器为虚拟机提供WAF服务。由上述技术方案可知，本发明描述WAF部署方式，不需要将流量解析到第三方，从而避免因此引起的数据安全隐患，也避免因此影响最终用户的访问速度。

技术领域

本发明涉及通信技术/计算机技术，具体涉及web应用防火墙搭建方法和管理方法。

背景技术

WEB应用防火墙(WAF)是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备的一款产品。它集成全新的安全理念与先进的创新架构，保障用户核心应用与业务持续稳定的运行。

在云计算环境下，用户如果想对运行在云上的多台虚拟机(例如基于linux或windows系统的虚拟机)中运行的web应用进行安全防护，要么购买一些第三方的web应用防火墙服务，第三方费用昂贵不说，而且需要把DNS解析先指到第三方，容易造成数据安全隐患，还影响最终用户的访问速度。

发明内容

鉴于上述问题，本发明提出了克服上述问题或者至少部分地解决上述问题的web应用防火墙搭建方法和管理方法。

为此目的，第一方面，本发明提出一种提供web应用防火墙服务的方法，包括，

接收WAF容器镜像；

执行第一预设指令，将WAF容器镜像安装到用户所指示的虚拟机中；

执行第二预设指令配置虚拟机，使基于WAF容器镜像生成的WAF容器为虚拟机提供WAF服务。

可选的，所述第二预设指令包括以下一组或多组指令：

第一组指令：设置WAF容器扩展规则的指令；

第二组指令：设置WAF容器中应用程序的更新规则的指令；

第三组指令：设置虚拟机和/或WAF容器，使WAF容器提供对应WAF服务所需的指令；

第四组指令：设置WAF容器中应用程序的检测规则。

可选的，所述虚拟机所在的计算节点上运行web应用防火墙服务代理，所述web应用防火墙服务代理用于将待检测的流量导入WAF容器中进行检测。

可选的，web应用防火墙服务代理根据预设收集规则收集虚拟机的虚拟端口的信息；

所述web应用防火墙服务代理用于将待检测的流量导入WAF容器中进行检测，包括：web应用防火墙服务代理调用计算节点上的ovs接口添加待检测的流量到WAF容器；

可选的，所述WAF容器镜像为根据用户的第一指示选择的。

可选的，所述web应用防火墙代理服务用于控制执行第一预设指令和控制执行第二预设指令。

第二方面，本发明提供一种web应用防火墙管理方法，包括：

将WAF容器镜像A发送到用户指示的虚拟机中；

向虚拟机所在的计算节点发送与WAF容器镜像A对应的第一预设指令和第二预设指令；

所述第一预设指令用于将WAF容器镜像安装到用户所指示的虚拟机中；

所述第二预设指令用于配置虚拟机，使基于WAF容器镜像生成的WAF容器为用户的虚拟机提供WAF服务。

可选的，在将WAF容器镜像A发送到用户指示的虚拟机中之前，包括：