本申請公開了一種基于容器的網絡安全處理方法和裝置，該方法包括：獲取物理服務器上運行的容器的標識信息，并獲取容器中運行的服務的網絡地址信息，其中，物理服務器上運行了一個或多個容器；運行在物理服務器上的防火墻獲取到發生網絡攻擊；根據網絡地址信息判斷網絡攻擊的攻擊目標是否為運行在容器中的服務；在判斷結果為是的情況下，從物理服務器上獲取空閑的IP地址和端口；在預定時間內將發送到容器中的服務的數據包轉發到空閑的IP地址和端口。通過本申請解決了對于運行在Docker中的服務遭受到的攻擊沒有更適應的處理方式所導致的問題，提高了運行在Docker中的服務的安全性。

技術領域

本申請涉及到網絡領域，具體而言，涉及一種基于容器的網絡安全處理方法和裝置。

背景技術

隨著技術的發展，出現了容器(Docker)技術，Docker是一種虛擬化技術，構建在LXC(Linux Container)之上的，是一種基于進程容器的輕量級虛擬化解決方案。Docker是以Docker容器為資源分割和調度的基本單位，封裝整個軟件運行時環境，讓開發者可以打包他們的應用以及依賴包到一個可移植的容器中，然后發布到任何流行的Linux機器上。容器完全使用沙箱機制，不依賴于任何語言、框架包括系統，相互之間不會有任何接口。幾乎沒有性能開銷,可以很容易地在數據中心中運行。

現在很多服務都運行在Docker中?，F在的網絡安全中防范攻擊的方式基本都是針對物理虛擬機的，對于運行在Docker中的服務遭受到的攻擊沒有更適應的處理方式。

發明內容

本申請實施例提供了一種基于容器的網絡安全處理方法和裝置，以至少解決對于運行在Docker中的服務遭受到的攻擊沒有更適應的處理方式所導致的問題。

根據本申請的一個方面，提供了一種基于容器的網絡安全處理方法，包括：獲取物理服務器上運行的容器的標識信息，并獲取所述容器中運行的服務的網絡地址信息，其中，所述物理服務器上運行了一個或多個容器；運行在所述物理服務器上的防火墻獲取到發生網絡攻擊；根據所述網絡地址信息判斷所述網絡攻擊的攻擊目標是否為運行在所述容器中的所述服務；在判斷結果為是的情況下，從所述物理服務器上獲取空閑的IP地址和端口；在預定時間內將發送到所述容器中的服務的數據包轉發到所述空閑的IP地址和端口。

進一步地，還包括：統計所述物理服務器上的所有的IP地址和端口；將所述物理服務器上所有未被使用的IP地址和端口均記錄在列表中；將所述列表保存在所述物理服務器上。

進一步地，從所述物理服務器上獲取所述空閑IP地址和端口包括：從所述列表上獲取空閑的IP地址和端口。

進一步地，在將所述物理服務器上所有未被使用的IP地址和端口均記錄在列表中之前，所述方法還包括：向每個IP地址和端口發送Ping命令；在預定時長內未收到回應的IP地址和端口標記為未被使用的IP地址和端口。

根據本申請的另一個方面，還提供了一種基于容器的網絡安全處理裝置，包括：第一獲取模塊，用于獲取物理服務器上運行的容器的標識信息，并獲取所述容器中運行的服務的網絡地址信息，其中，所述物理服務器上運行了一個或多個容器；第二獲取模塊，用于運行在所述物理服務器上的防火墻獲取到發生網絡攻擊；判斷模塊，用于根據所述網絡地址信息判斷所述網絡攻擊的攻擊目標是否為運行在所述容器中的所述服務；第三獲取模塊，用于在判斷結果為是的情況下，從所述物理服務器上獲取空閑的IP地址和端口；轉發模塊，用于在預定時間內將發送到所述容器中的服務的數據包轉發到所述空閑的IP地址和端口。

進一步地，還包括：統計模塊，用于統計所述物理服務器上的所有的IP地址和端口；記錄模塊，用于將所述物理服務器上所有未被使用的IP地址和端口均記錄在列表中；保存模塊，用于將所述列表保存在所述物理服務器上。

進一步地，所述第三獲取模塊，用于從所述列表上獲取空閑的IP地址和端口。