本發明的目的是提供一種PaaS容器云平臺環境下的結合WAF的防護方法，在對云平臺中的業務進行安全防護的同時，將平臺業務與WAF解耦，能夠動態地為平臺上指定的業務系統添加或去除WAF防護，實現按域名做定制化防護，且無需dns解析。

技術領域

本發明涉及一種在PaaS容器云平臺下的結合WAF的防護方法。

背景技術

PaaS(Platform as a service)，平臺即服務，指將軟件研發的平臺(或業務基礎平臺)作為一種服務提供給用戶。OpenShift是紅帽公司開發的PaaS，提供自由和開放源碼的云計算平臺，使開發人員能夠創建、測試和運行相應的應用程序，并且可以把它們部署到云中。

Web應用防護系統(Web Application Firewall，WAF)，也稱為“網站應用級入侵防御系統”，是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。

目前市面上的WAF主要有兩種形式，一種是傳統的硬件WAF，一般是部署的企業網絡入口，對所有流量進行檢測；另一種是公有云WAF，即云平臺廠商以SaaS的方式為客戶提供的WAF防護，基本原理是客戶先在云平臺的WAF產品界面上填寫好需要防護的域名及其源IP、源端口等相關信息，然后云平臺的WAF會返回一個域名A給客戶，緊接著客戶更改域名的dns cname記錄，將其指向云平臺WAF返回的域名A，這樣客戶域名的流量都會先被導向云平臺WAF，由WAF進行攻擊檢測后再將流量轉發給客戶域名的源IP。

但目前的WAF有著如下缺點：

公有云WAF是以SaaS形式為客戶提供收費的防護，依賴dns解析來牽引，需要客戶服務器在公網，且需要更改dns記錄；傳統硬件WAF由于是部署在企業網絡入口，所有域名的請求都會被防護，不能按域名做定制化防護；

發明內容

本發明的目的是提供一種PaaS容器云平臺環境下的結合WAF的防護方法，在對云平臺中的業務進行安全防護的同時，將平臺業務與WAF解耦，能夠動態地為平臺上指定的業務系統添加或去除WAF防護，實現按域名做定制化防護，且無需dns解析；同時，能夠監控WAF狀態，在WAF發生故障的情況下能為所有域名去除WAF防護，不會因為WAF的故障而影響業務本身。

為解決上述技術問題，本發明提供如下技術方案：

以Openshift平臺為例，一般PaaS容器云平臺的業務的數據流圖如圖1所示，用戶在平臺上創建和發布業務后，平臺會為業務創建指定數量的pod并分配一個負載均衡的虛擬IP指向這些pod，同時為業務分配一個域名，域名與虛擬IP的映射關系會存在Router(路由模塊)中的配置文件中，當有客戶端對這個域名發起請求時，Router會將請求轉發到虛擬IP，虛擬IP再負載均衡到業務真正運行的pod中。

因此，本發明提供在PaaS容器云平臺下一種結合WAF的防護方法包括：

在路由模塊中配置有信息，包括指定的需要WAF防護的域名；

在路由模塊中配置有判斷條件，包括“訪問域名是否在防護域名列表中”；

經過判斷后，若判斷條件結果滿足，則將請求轉發給WAF。

進一步地，若判斷條件結果不滿足，則路由模塊將請求轉發給業務Pod。

進一步地，該防護方法適用于Openshift平臺。

進一步地，該防護方法中通過Haproxy實現路由模塊相關功能。

進一步地，所述判斷條件結果滿足的條件為：所有判斷結果均為真。

進一步地，如果WAF檢測到攻擊就拒絕請求。