本发明涉及web应用安全防护,尤其涉及一种基于动态iptables技术的web应用隐藏的方法、系统、设备及介质。
背景技术:
::1、随着企业数字化转型加速,信息交互越来越频繁,重要的数据和信息在网络中的传输也越来越多,安全性要求也越来越高。为了支撑业务的发展,同时也为了满足企业内部和外部网点访问的需要,必须将一部分办公、运维系统开放,使得这些系统暴露在互联网上。而传统的vpn、防火墙、waf等被动防御技术都不能很好的保护这些暴露资源,容易受到黑客攻击、apt攻击、病毒木马攻击。为了保护发布在互联网上的应用系统不被攻击,一种有效的应对方法就是采用“应用隐藏”方式,收缩互联网暴露面,将应用系统隐藏起来,让攻击者找不到攻击目标,从根本上杜绝应用系统被攻击的可能性。2、目前,主要采用“单包授权(single packet authorization,spa)+代理访问网关”技术方案来实现应用隐藏,主要内容如下:将受保护的应用系统发布在代理网关上,确保只能通过代理网关访问受保护的应用系统,对外只暴露代理网关的访问端口,实现网络暴露面收缩功能;通过spa技术实现隐藏代理网关的端口功能,达到“应用隐藏”的效果。其中,为实现spa功能,需要分别在用户终端和代理网关上安装spa功能组件。3、但是,通过上述方式实现应用隐藏时,存在用户体验差、大规模推广难等问题。为实现spa功能,需要开发spa功能组件(包括spa客户端和服务端),并将其分别安装在用户终端和代理网关上,存在开发工作量大、认证过程复杂、用户体验差、大规模推广难等问题。并且,只有安装了spa客户端的终端才能访问隐藏起来的应用系统,导致应用场景受限,不利于广泛使用。技术实现思路1、基于此,有必要针对上述技术问题,提供一种基于动态iptables技术的web应用隐藏的方法、系统、设备及介质,以解决现有技术中存在的至少一个问题。2、第一方面,本技术是这样实现的,提供了一种基于动态iptables技术的web应用隐藏的系统,包括:3、控制中心,用于接收通过目标浏览器发送的目标web应用访问请求,所述目标web应用访问请求携带有认证信息以及目标web应用信息,根据所述认证信息进行访问权限认证,当认证通过时,向所述目标浏览器发送授权访问令牌,并根据所述目标web应用信息向隐藏目标web应用的目标安全网关发送动态访问控制指令;4、所述目标安全网关,用于根据所述动态访问控制指令,在预设的iptables表中新增动态访问控制记录;5、所述目标安全网关,还用于接收通过所述目标浏览器发送的目标web应用代理访问请求,所述目标web应用代理访问请求携带有所述授权访问令牌,对所述授权访问令牌进行验证,当验证通过时,代理访问所述目标web应用。6、在一实施例中,所述控制中心,包括:7、统一认证中心,用于接收所述目标浏览器发送的认证请求,所述认证请求携带有目标用户身份信息,根据所述目标用户身份信息进行身份认证,当认证通过时,向所述目标浏览器发送用户访问权限列表,所述用户访问权限列表中包括至少一个web应用;8、统一权限管理模块,用于接收通过所述目标浏览器发送的目标web应用访问请求,所述目标web应用访问请求携带有所述认证信息,根据所述认证信息进行访问权限认证,当认证通过时,向所述目标浏览器发送所述授权访问令牌;9、策略管理与下发模块,用于向所述目标安全网关发送所述动态访问控制指令。10、在一实施例中,11、所述统一认证中心,还用于对待隐藏web应用进行注册发布,注册发布后的待隐藏web应用被隐藏于对应的安全网关后面;12、所述控制中心,还包括:13、统一应用管理模块,用于对隐藏于安全网关后面的web应用进行统一管理。14、在一实施例中,所述目标安全网关,包括:15、动态访问控制模块,用于接收所述控制中心发送的动态访问控制指令,并根据所述根据所述动态访问控制指令,在预设的iptables表中新增动态访问控制记录;16、令牌认证单元,用于接收通过所述目标浏览器发送的目标web应用代理访问请求,所述目标web应用代理访问请求携带有所述授权访问令牌,对所述授权访问令牌进行解析与验证;17、代理转发模块,用于代理访问隐藏的web应用系统,以实现对所述目标web应用的代理访问。18、在一实施例中,所述目标安全网关,还包括:19、web应用隐藏模块,用于对已在所述控制中心注册发布的待隐藏web应用进行隐藏,并关闭全部用于访问隐藏的web应用的外部访问端口。20、在一实施例中,21、所述目标安全网关,还用于根据所述动态访问控制指令,开通临时访问权限,所述临时访问权限,包括临时访问时间;22、当在所述临时访问时间内,接收到所述目标浏览器发送的tcp连接建立请求,则建立与所述目标浏览器之间的tcp连接通道,以通过所述tcp连接通道,接收所述目标浏览器发送的所述目标web应用代理访问请求。23、第二方面,提供了一种基于动态iptables技术的web应用隐藏的方法,包括:24、接收通过所述目标浏览器发送的目标web应用访问请求,所述目标web应用访问请求携带有认证信息,根据所述认证信息进行访问权限认证;25、当认证通过时,向所述目标浏览器发送授权访问令牌和目标web应用的url,同时向目标安全网关发送动态访问控制指令;26、所述目标安全网关根据所述动态访问控制指令,在预设的iptables表中新增动态访问控制记录;27、所述根据所述目标web应用的url,通过所述目标浏览器向所述目标安全网关发送目标web应用代理访问请求,所述目标web应用代理访问请求携带有所述授权访问令牌;28、所述目标安全网关对所述授权访问令牌进行验证,当验证通过时,代理访问所述目标web应用。29、在一实施例中,所述向目标安全网关发送动态访问控制指令之后,包括:30、所述目标安全网关根据所述动态访问控制指令,开通临时访问权限,所述临时访问权限,包括临时访问时间;31、当在所述临时访问时间内,接收到所述目标浏览器发送的tcp连接建立请求,则建立与所述目标浏览器之间的tcp连接通道,以通过所述tcp连接通道,接收所述目标浏览器发送的所述目标web应用访问请求。32、第三方面,提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机可读指令,所述处理器执行所述计算机可读指令时实现如上述所述的基于动态iptables技术的web应用隐藏的方法的步骤。33、第四方面,提供了一种可读存储介质,所述可读存储介质存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如上述所述的基于动态iptables技术的web应用隐藏的方法的步骤。34、上述基于动态iptables技术的web应用隐藏的方法、装置、计算机设备及存储介质,其方法实现,包括:控制中心,用于对目标浏览器进行访问权限认证,当认证通过时,向所述目标浏览器发送授权访问令牌,并向目标安全网关发送动态访问控制指令;所述目标安全网关,用于根据所述动态访问控制指令,在预设的iptables表中新增动态访问控制记录;所述目标安全网关,还用于根据所述目标浏览器发送的目标web应用访问请求,对所述授权访问令牌进行验证,当验证通过时,向隐藏的web应用系统转发所述目标web应用访问请求,以实现对隐藏的目标web应用进行安全访问。本技术实施例中,采用动态iptables技术结合sdp(software defined perimeter,软件定义边界)技术框架,实现了web应用隐藏功能,不需要在用户终端上安装任何额外的软件,不需要改变用户的操作习惯,用户体验好、应用场景多、易推广。当前第1页12当前第1页12