本發(fā)明提供一種提供web應(yīng)用防火墻服務(wù)的方法和設(shè)備，用于解決用戶在想對運行在云上的多臺虛擬機中運行的web應(yīng)用進行安全防護時需要把DNS解析先指到第三方，容易造成數(shù)據(jù)安全隱患的問題。其中方法包括接收WAF容器鏡像；執(zhí)行第一預(yù)設(shè)指令，將WAF容器鏡像安裝到用戶所指示的虛擬機中；執(zhí)行第二預(yù)設(shè)指令配置虛擬機，使基于WAF容器鏡像生成的WAF容器為虛擬機提供WAF服務(wù)。由上述技術(shù)方案可知，本發(fā)明描述WAF部署方式，不需要將流量解析到第三方，從而避免因此引起的數(shù)據(jù)安全隱患，也避免因此影響最終用戶的訪問速度。

技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)/計算機技術(shù)，具體涉及web應(yīng)用防火墻搭建方法和管理方法。

背景技術(shù)

WEB應(yīng)用防火墻(WAF)是集WEB防護、網(wǎng)頁保護、負載均衡、應(yīng)用交付于一體的WEB整體安全防護設(shè)備的一款產(chǎn)品。它集成全新的安全理念與先進的創(chuàng)新架構(gòu)，保障用戶核心應(yīng)用與業(yè)務(wù)持續(xù)穩(wěn)定的運行。

在云計算環(huán)境下，用戶如果想對運行在云上的多臺虛擬機(例如基于linux或windows系統(tǒng)的虛擬機)中運行的web應(yīng)用進行安全防護，要么購買一些第三方的web應(yīng)用防火墻服務(wù)，第三方費用昂貴不說，而且需要把DNS解析先指到第三方，容易造成數(shù)據(jù)安全隱患，還影響最終用戶的訪問速度。

發(fā)明內(nèi)容

鑒于上述問題，本發(fā)明提出了克服上述問題或者至少部分地解決上述問題的web應(yīng)用防火墻搭建方法和管理方法。

為此目的，第一方面，本發(fā)明提出一種提供web應(yīng)用防火墻服務(wù)的方法，包括，

接收WAF容器鏡像；

執(zhí)行第一預(yù)設(shè)指令，將WAF容器鏡像安裝到用戶所指示的虛擬機中；

執(zhí)行第二預(yù)設(shè)指令配置虛擬機，使基于WAF容器鏡像生成的WAF容器為虛擬機提供WAF服務(wù)。

可選的，所述第二預(yù)設(shè)指令包括以下一組或多組指令：

第一組指令：設(shè)置WAF容器擴展規(guī)則的指令；

第二組指令：設(shè)置WAF容器中應(yīng)用程序的更新規(guī)則的指令；

第三組指令：設(shè)置虛擬機和/或WAF容器，使WAF容器提供對應(yīng)WAF服務(wù)所需的指令；

第四組指令：設(shè)置WAF容器中應(yīng)用程序的檢測規(guī)則。

可選的，所述虛擬機所在的計算節(jié)點上運行web應(yīng)用防火墻服務(wù)代理，所述web應(yīng)用防火墻服務(wù)代理用于將待檢測的流量導(dǎo)入WAF容器中進行檢測。

可選的，web應(yīng)用防火墻服務(wù)代理根據(jù)預(yù)設(shè)收集規(guī)則收集虛擬機的虛擬端口的信息；

所述web應(yīng)用防火墻服務(wù)代理用于將待檢測的流量導(dǎo)入WAF容器中進行檢測，包括：web應(yīng)用防火墻服務(wù)代理調(diào)用計算節(jié)點上的ovs接口添加待檢測的流量到WAF容器；

可選的，所述WAF容器鏡像為根據(jù)用戶的第一指示選擇的。

可選的，所述web應(yīng)用防火墻代理服務(wù)用于控制執(zhí)行第一預(yù)設(shè)指令和控制執(zhí)行第二預(yù)設(shè)指令。

第二方面，本發(fā)明提供一種web應(yīng)用防火墻管理方法，包括：

將WAF容器鏡像A發(fā)送到用戶指示的虛擬機中；

向虛擬機所在的計算節(jié)點發(fā)送與WAF容器鏡像A對應(yīng)的第一預(yù)設(shè)指令和第二預(yù)設(shè)指令；

所述第一預(yù)設(shè)指令用于將WAF容器鏡像安裝到用戶所指示的虛擬機中；

所述第二預(yù)設(shè)指令用于配置虛擬機，使基于WAF容器鏡像生成的WAF容器為用戶的虛擬機提供WAF服務(wù)。

可選的，在將WAF容器鏡像A發(fā)送到用戶指示的虛擬機中之前，包括：