[发明专利]一种PaaS容器云平台环境下的结合WAF的防护方法

说明书

本发明的目的是提供一种PaaS容器云平台环境下的结合WAF的防护方法，在对云平台中的业务进行安全防护的同时，将平台业务与WAF解耦，能够动态地为平台上指定的业务系统添加或去除WAF防护，实现按域名做定制化防护，且无需dns解析。

技术领域

本发明涉及一种在PaaS容器云平台下的结合WAF的防护方法。

背景技术

PaaS(Platform as a service)，平台即服务，指将软件研发的平台(或业务基础平台)作为一种服务提供给用户。OpenShift是红帽公司开发的PaaS，提供自由和开放源码的云计算平台，使开发人员能够创建、测试和运行相应的应用程序，并且可以把它们部署到云中。

Web应用防护系统(Web Application Firewall，WAF)，也称为“网站应用级入侵防御系统”，是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

目前市面上的WAF主要有两种形式，一种是传统的硬件WAF，一般是部署的企业网络入口，对所有流量进行检测；另一种是公有云WAF，即云平台厂商以SaaS的方式为客户提供的WAF防护，基本原理是客户先在云平台的WAF产品界面上填写好需要防护的域名及其源IP、源端口等相关信息，然后云平台的WAF会返回一个域名A给客户，紧接着客户更改域名的dns cname记录，将其指向云平台WAF返回的域名A，这样客户域名的流量都会先被导向云平台WAF，由WAF进行攻击检测后再将流量转发给客户域名的源IP。

但目前的WAF有着如下缺点：

公有云WAF是以SaaS形式为客户提供收费的防护，依赖dns解析来牵引，需要客户服务器在公网，且需要更改dns记录；传统硬件WAF由于是部署在企业网络入口，所有域名的请求都会被防护，不能按域名做定制化防护；

发明内容

本发明的目的是提供一种PaaS容器云平台环境下的结合WAF的防护方法，在对云平台中的业务进行安全防护的同时，将平台业务与WAF解耦，能够动态地为平台上指定的业务系统添加或去除WAF防护，实现按域名做定制化防护，且无需dns解析；同时，能够监控WAF状态，在WAF发生故障的情况下能为所有域名去除WAF防护，不会因为WAF的故障而影响业务本身。

为解决上述技术问题，本发明提供如下技术方案：

以Openshift平台为例，一般PaaS容器云平台的业务的数据流图如图1所示，用户在平台上创建和发布业务后，平台会为业务创建指定数量的pod并分配一个负载均衡的虚拟IP指向这些pod，同时为业务分配一个域名，域名与虚拟IP的映射关系会存在Router(路由模块)中的配置文件中，当有客户端对这个域名发起请求时，Router会将请求转发到虚拟IP，虚拟IP再负载均衡到业务真正运行的pod中。

因此，本发明提供在PaaS容器云平台下一种结合WAF的防护方法包括：

在路由模块中配置有信息，包括指定的需要WAF防护的域名；

在路由模块中配置有判断条件，包括“访问域名是否在防护域名列表中”；

经过判断后，若判断条件结果满足，则将请求转发给WAF。

进一步地，若判断条件结果不满足，则路由模块将请求转发给业务Pod。

进一步地，该防护方法适用于Openshift平台。

进一步地，该防护方法中通过Haproxy实现路由模块相关功能。

进一步地，所述判断条件结果满足的条件为：所有判断结果均为真。

进一步地，如果WAF检测到攻击就拒绝请求。