云计算模式下的高可靠性WEB安全防护实现方法与流程

本发明涉及互联网应用技术领域，尤其涉及云计算模式下的高可靠性web安全防护实现方法。

背景技术：

传统的web应用防火墙(简称waf)，软件实现和硬件实体耦合紧密，并且在物理上跟后端防护web站点间的部署关系非常固定，waf的可靠性依赖于硬件一体化的专用设备。在专用设备出现故障的时候，整体web防护失效，只有在维护人员重新安装、部署与配置后方可重新恢复web的防护，可靠性和灵活性很差。随着云计算和虚拟化技术的发展，越来越多的安全厂商把安全防护软件功能实现和依赖的操作系统打包成镜像，在云平台上可以灵活的启动和部署waf，一定程度上解决了软硬件一体化waf的部署困难的问题。

在云平台中通过将waf以虚拟机的方式启动，虚拟机的状态依赖于所在物理服务器的正常工作与否。现有的云平台中都有相应的监控手段，在检测到虚拟机故障或者物理服务器有问题，可以手动对应物理服务器上的虚拟机迁移(冷迁移/热迁移)到其他正常工作的物理服务器中，无法自动化。在整个迁移和配置过程中，防护功能失效，无法做到不中断防护。

因此，当前的所谓云waf，无法做到及时的自动化故障检测、防护能力的迁移与waf防护能力的不中断。

技术实现要素：

鉴于目前互联网应用技术领域存在的上述不足，本发明提供的云计算模式下的高可靠性web安全防护实现方法，实现了云waf的自动化故障检测、防护能力的迁移及不中断安全防护的功能。

为达到上述目的，本发明的实施例采用如下技术方案：

云计算模式下的高可靠性web安全防护实现方法，所述云计算模式下的高可靠性web安全防护实现方法包括以下步骤：

在云平台部署web应用防火墙(以下简称waf)以创建云waf；

通过云端智能监控机制结合云waf管理器进行双重监控；

进行故障服务器上的云waf的智能迁移；

进行云waf进程故障后的动态重建；

进行故障云waf的不中断服务。

依照本发明的一个方面，所述进行故障服务器上的云waf的智能迁移包括：

检测到物理服务器发生故障；

调用云平台的相应接口，对物理服务器的各项指标智能统计与分析，选择最适合承载新的云waf的多台或者一台物理服务器；

将故障服务器上的所有云waf智能迁移至选择的其他服务器上。

依照本发明的一个方面，所述进行云waf进程故障后的动态重建包括：

检测到云waf本身的进程发生故障；

从预先创建的云waf资源池分配一个waf实例；

调用云waf管理器相应接口下发云waf的相应防护配置；

启动相应的安全防护进程，进行正常的安全防护。

依照本发明的一个方面，所述进行故障云waf的不中断服务包括：

创建云waf时选择ha(highavailability)主备模式部署策略；

主备之间在特定的ha网络定时发送心跳，感知对方是否存在；

通过监控发现云waf需要故障迁移或者加速重建；

主waf故障的时候能够进行热备切换，备故障则再加速重建；

云waf管理器将流量持续引流到主waf上防护，保证服务不间断。

依照本发明的一个方面，所述云waf的资源池，有相应的回收和再申请机制。

本发明实施的优点：本发明所述的云计算模式下的高可靠性web安全防护实现方法包括：在云平台部署waf以创建云waf；通过云端智能监控机制结合云waf管理器进行双重监控；进行故障服务器上的云waf的智能迁移；进行云waf进程故障后的动态重建；进行故障云waf的不中断服务；在云waf所在的物理服务器出现故障，能够通过云平台的迁移能力，将安全防护业务迁移至合适的物理服务器，持续提供安全防护能力，在云waf进程出现故障，能够在资源池中快速启动一 个新的同样功能的云waf，将配置重新下发或者通过共享配置的方式，能够加速创建新的云waf，云waf可以工作在ha模式，主备waf可以无缝切换，保证上层业务的不中断服务。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明所述的云计算模式下的高可靠性web安全防护实现方法示意图；

图2为本发明所述的故障服务器上的云waf的智能迁移示意图；

图3为本发明所述的云waf进程故障后的动态重建示意图；

图4为本发明所述的故障云waf的不中断服务示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1、图2、图3和图4所示，云计算模式下的高可靠性web安全防护实现方法，所述云计算模式下的高可靠性web安全防护实现方法包括以下步骤：

步骤s1：在云平台部署waf以创建云waf；

步骤s2：通过云端智能监控机制结合云waf管理器进行双重监控；

步骤s3：进行故障服务器上的云waf的智能迁移；

所述步骤s3进行故障服务器上的云waf的智能迁移的具体实施方式可为：根据步骤s2通过云端智能监控机制结合云waf管理器进行双重监控，可检测到物理服务器是否有发生故障；当检测到有物理服务器发生故障时，调用云平台的相应接口，对物理服务器的各项指标加权平均，选择最适合承载新的云waf的多台或者一台物理服务器；将故障服务器上的所有云waf智能迁移至其他服务器上。

步骤s4：进行云waf进程故障后的动态重建；

所述步骤s4进行云waf进程故障后的动态重建的具体实施方式可为：根据步骤s2通过云端智能监控机制结合云waf管理器进行双重监控，可检测到云waf本身的进程是否发生故障；当检测到云waf本身的进程发生故障时，从预先创建的云waf资源池分配一个waf实例；调用云waf管理器相应接口下发云waf的相应防护配置；启动相应的安全防护进程，进行正常的安全防护。

在实际应用中，对于云waf的资源池，有相应的回收和再申请机制。双重职能监控机制发现云waf故障后，从资源池中申请一个云waf，然后重新下发配置，保证进程故障的云waf能够再重新提供服务。云waf管理器还需要调用云平台接口对故障的云waf进行回收，重新回到资源池中。当资源池中的waf数量超过预先分配的阈值的时候，可以调用云waf管理器的相应接口，向云平台申请将资源池规模进行适当的扩容。资源池会占用一定的平台资源，需要在资源和速度做一个权衡。

步骤s5：进行故障云waf的不中断服务。

所述步骤s5进行故障云waf的不中断服务的具体实施方式可为：

创建云waf时选择ha(highavailability)主备模式部署策略；

主备之间在特定的ha网络定时发送心跳，感知对方是否存在；

通过监控发现云waf需要故障迁移或者加速重建；

主waf故障的时候能够进行热备切换，备故障则再加速重建；

云waf管理器将流量持续引流到主waf上防护，保证服务不间断。

在实际应用中，在创建云waf的时候，可以选取是否是ha模式，如果采取ha策略，则会在不同的物理服务器上创建两个云waf实现同样的防护能力，但是只有一个是active状态。云waf之间通过ha网络进行定时心跳检测和主备协商，备waf生主整个过程完全动态。云waf管理器也可以更改云waf的工作模式，如果由ha模式更新为单例模式，则会进行资源池的回收动作，将备云waf会收到资源池中。

本发明所述的云计算模式下的高可靠性web安全防护实现方法，着重考虑云计算模式下的高可靠性web安全防护技术，与现有的纯粹的虚拟机部署waf相比，支持双智能监控自动化故障检测、动态迁移、 资源池加速重建和不中断服务的特点。能够保证在物理服务器和waf本身故障，持续保证waf的安全防护能力。

在物理服务器故障时，能够对其上承载的云waf进行动态迁移，迁移至资源利用率较低，正常服务的物理服务器，后端安全防护的配置可以一同迁移或者重新下发，保证迁移后，能够进行正常防护。

在云waf进程故障时，需要对云waf进行重建，然后重新下发配置或者采用共享配置的方式，保证重建后能够进行正常防护。对于重建，采用waf资源池的方式进行加速重建，只需要下发配置，节省虚拟机创建时间。

提供云waf的不中断服务，在创建云waf的时候，可选其工作模式为ha，在主waf本身或者所在物理服务器出现故障的时候，备waf能够无缝切换，保证上层的防护业务不中断。

本发明实施的优点：本发明所述的云计算模式下的高可靠性web安全防护实现方法包括：在云平台部署waf以创建云waf；通过云端智能监控机制结合云waf管理器进行双重监控；进行故障服务器上的云waf的智能迁移；进行云waf进程故障后的动态重建；进行故障云waf的不中断服务；在云waf所在的物理服务器出现故障，能够通过云平台的迁移能力，将安全防护业务迁移至合适的物理服务器，持续提供安全防护能力，在云waf进程出现故障，能够在资源池中快速启动一个新的同样功能的云waf，通过共享配置的方式，能够加速创建新的云waf，云waf可以工作在ha模式，主备waf可以无缝切换，保证上层业务的不中断服务。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本领域技术的技术人员在本发明公开的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。