[发明专利]一种基于虚拟化容器的应用程序防护方法与装置

说明书

本发明公开了一种基于虚拟化容器的应用程序防护方法与装置，包括：监听外部端口并获取来自外部的应用程序访问请求；从应用程序访问请求的数据包中提取应用层信息；使用防火墙策略过滤应用层信息，生成合法应用层信息；将合法应用层信息传送到应用程序容器进行处理。本发明提出的基于虚拟化容器的应用程序防护方法与装置能够有效保护服务器系统的应用层安全，免受SQL注入、跨站脚本、信息泄露等攻击手段的影响。

技术领域

本发明涉及网络安全领域，更具体地，特别是指一种基于虚拟化容器的应用程序防护方法与装置。

背景技术

随着互联网技术的飞速发展，基于Web和数据库结合的B/S(浏览器/服务器)架构应用已经广泛使用于企业内部和外部的业务系统中，Web系统发挥着越来越重要的作用。与此同时，越来越多的Web系统也因为存在安全隐患而频繁遭受到各种攻击，导致Web系统敏感数据、页面被篡改、甚至成为传播木马的傀儡，最终会给更多访问者造成伤害，带来严重损失。

针对Web系统前端，防火墙、入侵防御等网络安全设备已被广泛部署，网络访问控制策略设置也颇为严格，一般只开放HTTP等必要的服务端口，因此黑客已经难以通过传统网络层攻击方式(查找并攻击操作系统漏洞、数据库漏洞)攻击网站。然而，Web应用程序漏洞的存在更加普遍，随着Web应用技术的深入普及，Web应用程序漏洞发掘和攻击速度越来越快，基于Web漏洞的攻击更容易被利用，已经成为黑客首选。

当下信息安全攻击有75％都是发生在应用层而非网络层面上。应用层安全形势堪忧，主要是存在以下几个问题：大多数Web系统设计只关注正常应用而未关注代码安全；应用层安全防御措施滞后，甚至没有真正的防御；黑客入侵未及时发现，被用来作为跳板攻击其它应用系统。

面对如此严重的应用层安全问题，部署应用防火墙是一种最为有效的手段。然而，在云计算模式下，虚拟网络使得传统意义上网络边界变得非常模糊，传统的防火墙、IDS(入侵检测系统)、IPS(入侵防御系统)等网络安全设备部署在物理网络的边界，无法对同一云平台内部不同应用之间的通信进行控制，一旦云平台的某一应用从内部直接向其他应用进行攻击，就能绕过所有的网络边界防护措施，从而直接威胁到应用甚至整个云计算平台的安全。

针对现有技术中云平台上的应用防火墙不能有效保护应用层的问题，目前尚未有有效的解决方案。

发明内容

有鉴于此，本发明实施例的目的在于提出一种基于虚拟化容器的应用程序防护方法与装置，能够针对不同应用或不同类型的应用进行基于虚拟化容器的应用程序防护，有效保护服务器系统的应用层安全，免受SQL注入、跨站脚本、信息泄露等攻击手段的影响。

基于上述目的，本发明实施例的一方面提供了一种基于虚拟化容器的应用程序防护方法，应用于服务器，包括以下步骤：

监听外部端口并获取来自外部的应用程序访问请求；

从应用程序访问请求的数据包中提取应用层信息；

使用防火墙策略过滤应用层信息，生成合法应用层信息；

将合法应用层信息传送到应用程序容器进行处理。

在一些实施方式中，还包括以下步骤：

应用程序容器处理后产生反馈信息；

使用防火墙策略过滤反馈信息，生成合法反馈信息；

将合法反馈信息打包并通过外部接口进行反馈。

在一些实施方式中，防火墙策略以防火墙参数的形式记载于策略库中。

在一些实施方式中，策略库连接至特定的编程接口，防火墙策略通过编程接口进行配置。

在一些实施方式中，请求访问的应用程序设置于应用程序容器中。