本發(fā)明公開(kāi)了一種基于虛擬化容器的應(yīng)用程序防護(hù)方法與裝置，包括：監(jiān)聽(tīng)外部端口并獲取來(lái)自外部的應(yīng)用程序訪問(wèn)請(qǐng)求；從應(yīng)用程序訪問(wèn)請(qǐng)求的數(shù)據(jù)包中提取應(yīng)用層信息；使用防火墻策略過(guò)濾應(yīng)用層信息，生成合法應(yīng)用層信息；將合法應(yīng)用層信息傳送到應(yīng)用程序容器進(jìn)行處理。本發(fā)明提出的基于虛擬化容器的應(yīng)用程序防護(hù)方法與裝置能夠有效保護(hù)服務(wù)器系統(tǒng)的應(yīng)用層安全，免受SQL注入、跨站腳本、信息泄露等攻擊手段的影響。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，更具體地，特別是指一種基于虛擬化容器的應(yīng)用程序防護(hù)方法與裝置。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，基于Web和數(shù)據(jù)庫(kù)結(jié)合的B/S(瀏覽器/服務(wù)器)架構(gòu)應(yīng)用已經(jīng)廣泛使用于企業(yè)內(nèi)部和外部的業(yè)務(wù)系統(tǒng)中，Web系統(tǒng)發(fā)揮著越來(lái)越重要的作用。與此同時(shí)，越來(lái)越多的Web系統(tǒng)也因?yàn)榇嬖诎踩[患而頻繁遭受到各種攻擊，導(dǎo)致Web系統(tǒng)敏感數(shù)據(jù)、頁(yè)面被篡改、甚至成為傳播木馬的傀儡，最終會(huì)給更多訪問(wèn)者造成傷害，帶來(lái)嚴(yán)重?fù)p失。

針對(duì)Web系統(tǒng)前端，防火墻、入侵防御等網(wǎng)絡(luò)安全設(shè)備已被廣泛部署，網(wǎng)絡(luò)訪問(wèn)控制策略設(shè)置也頗為嚴(yán)格，一般只開(kāi)放HTTP等必要的服務(wù)端口，因此黑客已經(jīng)難以通過(guò)傳統(tǒng)網(wǎng)絡(luò)層攻擊方式(查找并攻擊操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞)攻擊網(wǎng)站。然而，Web應(yīng)用程序漏洞的存在更加普遍，隨著Web應(yīng)用技術(shù)的深入普及，Web應(yīng)用程序漏洞發(fā)掘和攻擊速度越來(lái)越快，基于Web漏洞的攻擊更容易被利用，已經(jīng)成為黑客首選。

當(dāng)下信息安全攻擊有75％都是發(fā)生在應(yīng)用層而非網(wǎng)絡(luò)層面上。應(yīng)用層安全形勢(shì)堪憂，主要是存在以下幾個(gè)問(wèn)題：大多數(shù)Web系統(tǒng)設(shè)計(jì)只關(guān)注正常應(yīng)用而未關(guān)注代碼安全；應(yīng)用層安全防御措施滯后，甚至沒(méi)有真正的防御；黑客入侵未及時(shí)發(fā)現(xiàn)，被用來(lái)作為跳板攻擊其它應(yīng)用系統(tǒng)。

面對(duì)如此嚴(yán)重的應(yīng)用層安全問(wèn)題，部署應(yīng)用防火墻是一種最為有效的手段。然而，在云計(jì)算模式下，虛擬網(wǎng)絡(luò)使得傳統(tǒng)意義上網(wǎng)絡(luò)邊界變得非常模糊，傳統(tǒng)的防火墻、IDS(入侵檢測(cè)系統(tǒng))、IPS(入侵防御系統(tǒng))等網(wǎng)絡(luò)安全設(shè)備部署在物理網(wǎng)絡(luò)的邊界，無(wú)法對(duì)同一云平臺(tái)內(nèi)部不同應(yīng)用之間的通信進(jìn)行控制，一旦云平臺(tái)的某一應(yīng)用從內(nèi)部直接向其他應(yīng)用進(jìn)行攻擊，就能繞過(guò)所有的網(wǎng)絡(luò)邊界防護(hù)措施，從而直接威脅到應(yīng)用甚至整個(gè)云計(jì)算平臺(tái)的安全。

針對(duì)現(xiàn)有技術(shù)中云平臺(tái)上的應(yīng)用防火墻不能有效保護(hù)應(yīng)用層的問(wèn)題，目前尚未有有效的解決方案。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例的目的在于提出一種基于虛擬化容器的應(yīng)用程序防護(hù)方法與裝置，能夠針對(duì)不同應(yīng)用或不同類型的應(yīng)用進(jìn)行基于虛擬化容器的應(yīng)用程序防護(hù)，有效保護(hù)服務(wù)器系統(tǒng)的應(yīng)用層安全，免受SQL注入、跨站腳本、信息泄露等攻擊手段的影響。

基于上述目的，本發(fā)明實(shí)施例的一方面提供了一種基于虛擬化容器的應(yīng)用程序防護(hù)方法，應(yīng)用于服務(wù)器，包括以下步驟：

監(jiān)聽(tīng)外部端口并獲取來(lái)自外部的應(yīng)用程序訪問(wèn)請(qǐng)求；

從應(yīng)用程序訪問(wèn)請(qǐng)求的數(shù)據(jù)包中提取應(yīng)用層信息；

使用防火墻策略過(guò)濾應(yīng)用層信息，生成合法應(yīng)用層信息；

將合法應(yīng)用層信息傳送到應(yīng)用程序容器進(jìn)行處理。

在一些實(shí)施方式中，還包括以下步驟：

應(yīng)用程序容器處理后產(chǎn)生反饋信息；

使用防火墻策略過(guò)濾反饋信息，生成合法反饋信息；

將合法反饋信息打包并通過(guò)外部接口進(jìn)行反饋。

在一些實(shí)施方式中，防火墻策略以防火墻參數(shù)的形式記載于策略庫(kù)中。

在一些實(shí)施方式中，策略庫(kù)連接至特定的編程接口，防火墻策略通過(guò)編程接口進(jìn)行配置。

在一些實(shí)施方式中，請(qǐng)求訪問(wèn)的應(yīng)用程序設(shè)置于應(yīng)用程序容器中。