本發(fā)明公開(kāi)了一種云防護(hù)系統(tǒng)，包括云盾域名解析子系統(tǒng)和流量清洗子系統(tǒng)；云盾域名解析子系統(tǒng)在接收到域名解析請(qǐng)求時(shí)，在流量清洗子系統(tǒng)中確定當(dāng)前可用清洗節(jié)點(diǎn)，并將當(dāng)前可用清洗節(jié)點(diǎn)的IP地址返回給用戶(hù)，當(dāng)前可用清洗節(jié)點(diǎn)在接收到業(yè)務(wù)訪(fǎng)問(wèn)請(qǐng)求時(shí)，基于當(dāng)前使用的安全防護(hù)策略，對(duì)業(yè)務(wù)訪(fǎng)問(wèn)請(qǐng)求進(jìn)行流量清洗，在確定其正常時(shí)，將業(yè)務(wù)訪(fǎng)問(wèn)請(qǐng)求發(fā)送給業(yè)務(wù)站點(diǎn)，并接收業(yè)務(wù)站點(diǎn)返回的響應(yīng)數(shù)據(jù)，將該響應(yīng)數(shù)據(jù)返回給用戶(hù)。應(yīng)用本發(fā)明實(shí)施例所提供的技術(shù)方案，通過(guò)云盾域名解析子系統(tǒng)將業(yè)務(wù)數(shù)據(jù)牽引至流量清洗子系統(tǒng)，實(shí)現(xiàn)對(duì)云平臺(tái)中的業(yè)務(wù)的安全防護(hù)，提高了云平臺(tái)業(yè)務(wù)運(yùn)行安全性。本發(fā)明還公開(kāi)了一種云防護(hù)方法，具有相應(yīng)技術(shù)效果。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域，特別是涉及一種云防護(hù)系統(tǒng)及方法。

背景技術(shù)

隨著云計(jì)算技術(shù)的快速發(fā)展，云平臺(tái)的應(yīng)用越來(lái)越廣泛，越來(lái)越多的政企業(yè)務(wù)遷移到了公有云平臺(tái)或者政務(wù)云平臺(tái)。

因?yàn)樵破脚_(tái)向客戶(hù)提供的是虛擬機(jī)而非實(shí)體機(jī)，所以傳統(tǒng)的通過(guò)在業(yè)務(wù)出口部署硬件安全設(shè)備進(jìn)行防護(hù)的方案在云平臺(tái)中并不適用。而隨著自動(dòng)化攻擊工具的增多，黑客攻擊成本逐步降低，客戶(hù)業(yè)務(wù)遭受的攻擊越來(lái)越多，如何對(duì)云平臺(tái)中的業(yè)務(wù)進(jìn)行安全防護(hù)，是目前本領(lǐng)域技術(shù)人員急需解決的技術(shù)問(wèn)題。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種云防護(hù)系統(tǒng)及方法，以對(duì)云平臺(tái)中的業(yè)務(wù)進(jìn)行安全防護(hù)，提高云平臺(tái)業(yè)務(wù)運(yùn)行安全性。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供如下技術(shù)方案：

一種云防護(hù)系統(tǒng)，包括云盾域名解析子系統(tǒng)和流量清洗子系統(tǒng)；其中，

所述云盾域名解析子系統(tǒng)，用于在接收到用戶(hù)通過(guò)根域名解析服務(wù)器發(fā)送的域名解析請(qǐng)求時(shí)，在所述流量清洗子系統(tǒng)中確定當(dāng)前可用清洗節(jié)點(diǎn)，并將所述當(dāng)前可用清洗節(jié)點(diǎn)的IP地址通過(guò)所述根域名解析服務(wù)器返回給所述用戶(hù)，以使所述用戶(hù)基于所述當(dāng)前可用清洗節(jié)點(diǎn)的IP地址發(fā)送業(yè)務(wù)訪(fǎng)問(wèn)請(qǐng)求；

所述當(dāng)前可用清洗節(jié)點(diǎn)，用于在接收到所述用戶(hù)的業(yè)務(wù)訪(fǎng)問(wèn)請(qǐng)求時(shí)，基于當(dāng)前使用的安全防護(hù)策略，對(duì)所述業(yè)務(wù)訪(fǎng)問(wèn)請(qǐng)求進(jìn)行流量清洗，并確定所述業(yè)務(wù)訪(fǎng)問(wèn)請(qǐng)求是否為正常請(qǐng)求，如果是，則將所述業(yè)務(wù)訪(fǎng)問(wèn)請(qǐng)求發(fā)送給云平臺(tái)中對(duì)應(yīng)的業(yè)務(wù)站點(diǎn)，并接收所述業(yè)務(wù)站點(diǎn)返回的響應(yīng)數(shù)據(jù)，將所述業(yè)務(wù)站點(diǎn)返回的響應(yīng)數(shù)據(jù)返回給所述用戶(hù)。

在本發(fā)明的一種具體實(shí)施方式中，所述流量清洗子系統(tǒng)包括的清洗節(jié)點(diǎn)部署有多條線(xiàn)路，各線(xiàn)路之間互為冗余；

所述云盾域名解析子系統(tǒng)，還用于對(duì)所述流量清洗子系統(tǒng)中的清洗節(jié)點(diǎn)進(jìn)行線(xiàn)路監(jiān)測(cè)，并具體用于在所述流量清洗子系統(tǒng)中確定當(dāng)前可用清洗節(jié)點(diǎn)之后，根據(jù)線(xiàn)路監(jiān)測(cè)結(jié)果，確定所述當(dāng)前可用清洗節(jié)點(diǎn)的可用線(xiàn)路，將所述當(dāng)前可用清洗節(jié)點(diǎn)的所述可用線(xiàn)路對(duì)應(yīng)的IP地址通過(guò)所述根域名解析服務(wù)器返回給所述用戶(hù)。

在本發(fā)明的一種具體實(shí)施方式中，所述流量清洗子系統(tǒng)包括主清洗節(jié)點(diǎn)和備用清洗節(jié)點(diǎn)；

所述云盾域名解析子系統(tǒng)，還用于對(duì)所述流量清洗子系統(tǒng)中每個(gè)清洗節(jié)點(diǎn)進(jìn)行節(jié)點(diǎn)監(jiān)測(cè)，并具體用于根據(jù)節(jié)點(diǎn)監(jiān)測(cè)結(jié)果，在所述流量清洗子系統(tǒng)中確定當(dāng)前可用清洗節(jié)點(diǎn)。

在本發(fā)明的一種具體實(shí)施方式中，還包括故障監(jiān)測(cè)設(shè)備；

所述故障監(jiān)控設(shè)備，用于對(duì)所述流量清洗子系統(tǒng)中每個(gè)清洗節(jié)點(diǎn)進(jìn)行故障監(jiān)測(cè)，將硬件故障節(jié)點(diǎn)信息發(fā)送給所述云盾域名解析子系統(tǒng)；

所述云盾域名解析子系統(tǒng)，還用于根據(jù)所述硬件故障節(jié)點(diǎn)信息，將相應(yīng)的硬件故障清洗節(jié)點(diǎn)加入黑名單。

在本發(fā)明的一種具體實(shí)施方式中，還包括永久在線(xiàn)子系統(tǒng)，所述永久在線(xiàn)子系統(tǒng)中預(yù)先緩存有所述業(yè)務(wù)站點(diǎn)的全站靜態(tài)文件；

所述當(dāng)前可用清洗節(jié)點(diǎn)，還用于在確定所述業(yè)務(wù)站點(diǎn)不可用時(shí)，將所述業(yè)務(wù)訪(fǎng)問(wèn)請(qǐng)求發(fā)送給所述永久在線(xiàn)子系統(tǒng)，并接收所述永久在線(xiàn)子系統(tǒng)返回的響應(yīng)數(shù)據(jù)，將所述永久在線(xiàn)子系統(tǒng)返回的響應(yīng)數(shù)據(jù)返回給所述用戶(hù)。