一种云平台上WEB防火墙的实现方法与流程

本发明涉及云计算平台技术领域，特别涉及一种云平台上web防火墙的实现方法。

背景技术：

在云计算时代，“应用上云”逐渐成为了一种趋势，即由云计算平台提供web应用服务器，用户只需要关注于自身开发web应用，不需要关注应用服务器环境的搭建。然而，当前的网络安全环境日趋恶劣，各种黑客工具广泛传播，即使是一个计算机新手也可以使用它们对web应用服务进行攻击破坏。

由此云计算平台对其上搭建的web应用服务器提供web防火墙，已经是一个成熟平台的必备条件。

目前对于云计算平台上的web防火墙技术尚不完善。

nginx是一款轻量级的web服务器/反向代理服务器及电子邮件（imap/pop3）代理服务器，并在一个bsd-like协议下发行。由俄罗斯的程序设计师igorsysoev所开发，供俄国大型的入口网站及搜索引擎rambler（俄文：рамблер）使用。其特点是占有内存少，并发能力强，事实上nginx的并发能力确实在同类型的网页服务器中表现较好。

技术实现要素：

为了解决现有技术的问题，本发明提供了一种云平台上web防火墙的实现方法，其通过采用nginx代理服务器代理web应用服务器的流量，并使用nginx的naxsi开源插件过滤流量拦截疑似网络攻击的请求，实现web防火墙的功能。

本发明所采用的技术方案如下：

一种云平台上web防火墙的实现方法，包括：

a、在代理节点实现web防火墙功能，并将其集成到web应用服务器服务当中；

b、在云平台上创建web应用服务器服务时即创建了未启用的web防火墙服务；

c、通过创建防火墙配置实例，将其关联到web应用服务器服务后，云平台可以通过配置实例批量控制这些web应用服务器服务上的防火墙服务。

方法a具体包括：使用nginx代理服务器作为代理节点，并使用ngixn的naxsi插件实现web防火墙功能.

方法b具体包括：

b1、按照云平台构建服务的规则，将web防火墙服务与web服务器服务集成到一起；

b2、云平台创建web服务器服务后，同时也创建了web防火墙服务，默认web防火墙服务未启用。

方法c具体包括：

c1、云平台创建web防火墙配置实例；

c2、云平台将配置实例关联到指定的web应用服务器服务；

c3、云平台通过配置实例实现对关联到的web应用服务器服务上的web防火墙的动作控制及配置控制。

一个防火墙配置实例可以关联多个web应用服务器服务，它们共享一套防火墙配置。

本发明提供的技术方案带来的有益效果是：

（1）将web防火墙功能集成到了代理节点实现防火墙功能；

（2）将web防火墙节点与web服务器集群结合在了一起，可以通过云平台自动话的部署、创建web防火墙服务；

（3）同时通过创建防火墙配置实例并关联到web服务器集群的手段，实现了批量的控制、配置不同web服务器集群防火墙服务的功能。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的一种云平台上web防火墙的实现方法的web防火墙的流量拦截示意图；

图2为本发明的一种云平台上web防火墙的实现方法的web防火墙的逻辑结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

实施例一

本实施例的一种云平台上web防火墙的具体实现过程如下：

（1）将nginx代理服务器及及web防火墙插件naxsi，同时与web应用服务器一起，按照云平台的服务构建规则构建成云平台可管理的web应用服务器服务；

（2）用户申请创建web应用服务器服务时，将web防火墙服务一并安装，但web防火墙服务默认不启用，对于用户透明，不对用户的web服务器服务的操作造成任何影响；

（3）用户申请web防火墙服务时，在云平台创建一个web防火墙配置实例，将该配置关联到第二步中创建的web应用服务器服务。通过对配置实例的配置，实现对于web防火墙的启动、停止等动作控制以及规则设置等配置控制；

（4）一个防火墙配置实例可以关联多个web应用服务器服务，它们共享一套防火墙配置。

web防火墙的流量拦截示意图如附图1所示。

web防火墙的逻辑结构如附图2所示。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：

技术总结
本发明涉及云计算平台技术领域，特别涉及一种云平台上WEB防火墙的实现方法。本发明采用Nginx代理服务器代理发送到WEB应用服务器的请求，使用Nginx的开源WEB防火墙插件过虑拦截危险的请求，实现WEB防火墙的防护功能；将WEB防火墙按照云平台的服务规则进行构建，通过云平台的服务安装、控制机制，实现WEB防火墙的安装、启动、停止等动作控制以及配置控制，进而实现云平台对WEB防火墙的自动化部署管理，从而大幅提高WEB应用服务器的安全性。

技术研发人员：李少青;孙兴涛
受保护的技术使用者：郑州云海信息技术有限公司
技术研发日：2017.06.16
技术公布日：2017.07.28