流量安全检测和云防火墙配置方法、装置及设备与流程

本申请涉及云安全(cloud security)，尤其涉及云安全防护，提供一种流量安全检测和云防火墙配置方法、装置及设备。

背景技术：

1、防火墙(firewall)是一种用于检测网络流量安全性的网络安全设备，可基于对网络流量的检测结果或者预置的规则来决定是允许还是阻止网络流量通过。随着云网络技术的发展，云服务的使用也越来越广泛，随之而来的针对云服务场景的网络安全防护也愈加重要，因此，云防火墙作为云网络边界防护的重要安全设备，具备高性能、高稳定性是尤其重要的。

2、目前，云防火墙通常采用直接在云的网络出口处部署一套传统硬件防火墙来实现云的内外网之间的流量防护。而云服务器是面向大量的云租户的，且每个云租户都可能在云服务器部署有一个甚至多个网站，但是，传统硬件防火墙是基于传统的物理服务器而设的，而传统的物理服务器通常是提供单一网站的后台服务，因此传统硬件防火墙通常仅支持单一网站的流量防护规则的配置，从而传统硬件防火墙直接使用到云服务场景中时，无法识别每个云租户或者网站粒度的流量防护需求，使得流量防护的精准性不高。

技术实现思路

1、本申请实施例提供一种流量安全检测和云防火墙配置方法、装置及设备，用于实现云租户的流量防护规则配置和安全检测，提升云防火墙对于流量防护的精准性。

2、一方面，提供一种流量安全检测方法，应用于云防火墙设备，该方法包括：

3、接收携带有目标地址对象的网络流量，并将所述目标地址对象与本地存储的开关策略组包含的各参考地址对象进行对象匹配；所述各参考地址对象是响应于所述各参考地址对象各自所属的云租户的功能启动请求，添加至所述开关策略组中的；

4、在匹配成功时，确定所述目标地址对象已开启云防火墙功能，并将所述网络流量，分别与多个安全检测策略组各自包含的访问控制规则进行规则匹配；其中，每个安全检测策略组对应一种安全检测功能，且每条访问控制规则是基于相应安全检测功能的规则模板，及云租户发送的配置规则所生成的；

5、在匹配成功时，基于命中的目标访问控制规则对所述网络流量进行访问控制。

6、一方面，提供一种云防火墙配置方法，应用于防火墙后台服务器，所述方法包括：

7、接收云租户针对云防火墙设备的至少一种安全检测功能进行配置操作所触发的配置请求，所述配置请求携带所述至少一种安全检测功能各自对应的配置规则；

8、基于至少一种配置规则，以及所述云租户关联的目标地址对象，分别对至少一种安全检测功能各自对应的规则模板进行填充处理，以生成所述至少一种安全检测功能各自对应的访问控制规则；

9、将生成的访问控制规则，分别添加至所述云防火墙设备中相对应的安全检测策略组中，以使得所述云防火墙设备基于各安全检测策略组对携带所述目标地址对象的网络流量进行安全检测。

10、一方面，提供一种流量安全检测装置，应用于云防火墙设备，该装置包括：

11、流量接收单元，用于接收携带有目标地址对象的网络流量；

12、开关检测单元，用于将所述目标地址对象与本地存储的开关策略组包含的各参考地址对象进行对象匹配；所述各参考地址对象是响应于所述各参考地址对象各自所属的云租户的功能启动请求，添加至所述开关策略组中的；

13、安全检测单元，用于在匹配成功时，确定所述目标地址对象已开启云防火墙功能，并将所述网络流量，分别与多个安全检测策略组各自包含的访问控制规则进行规则匹配；其中，每个安全检测策略组对应一种安全检测功能，且每条访问控制规则是基于相应安全检测功能的规则模板，及云租户发送的配置规则所生成的；

14、执行单元，用于在匹配成功时，基于命中的目标访问控制规则对所述网络流量进行访问控制。

15、一方面，提供一种云防火墙配置装置，应用于防火墙后台服务器，该装置包括：

16、配置接收单元，用于接收云租户针对云防火墙设备的至少一种安全检测功能进行配置操作所触发的配置请求，所述配置请求携带所述至少一种安全检测功能各自对应的配置规则；

17、规则生成单元，用于基于至少一种配置规则，以及所述云租户关联的目标地址对象，分别对至少一种安全检测功能各自对应的规则模板进行填充处理，以生成所述至少一种安全检测功能各自对应的访问控制规则；

18、配置下发单元，用于将生成的访问控制规则，分别添加至所述云防火墙设备中相对应的安全检测策略组中，以使得所述云防火墙设备基于各安全检测策略组对携带所述目标地址对象的网络流量进行安全检测。

19、一方面，提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述任一种方法的步骤。

20、一方面，提供一种计算机存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述任一种方法的步骤。

21、一方面，提供一种计算机程序产品，该计算机程序产品包括计算机程序，该计算机程序存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机程序，处理器执行该计算机程序，使得该计算机设备执行上述任一种方法的步骤。

22、本申请实施例中，云租户可以针对每种安全检测功能下发配置规则，相应的，防火墙后台服务器可以基于配置规则和该安全检测功能的规则模板，来生成相应的访问控制规则，并下发到云防火墙设备中的相应安全检测策略组中，从而在云防火墙设备接收到网络流量，并确定该网络流量的目标地址对象已开启云防火墙功能时，则可以基于自身存储的各个安全检测策略组中的访问控制规则来对该网络流量进行规则匹配，若能够成功命中目标访问控制规则，则基于目标访问控制规则对该网络流量进行访问控制，从而通过本申请实施例的技术方案，能够从云租户粒度或者云租户关联的地址对象粒度来进行防火墙功能的配置，相应的，云防火墙设备则可以基于云租户粒度或者地址对象粒度进行流量访问控制，提升云防火墙对于流量防护的精准性。

技术特征：

1.一种流量安全检测方法，其特征在于，应用于云防火墙设备，所述方法包括：

2.如权利要求1所述的方法，其特征在于，将所述网络流量，分别与多个安全检测策略组各自包含的访问控制规则进行规则匹配，包括：

3.如权利要求2所述的方法，其特征在于，所述多个安全检测策略组包括白名单检测策略组、黑名单检测策略组和访问控制功能策略组；

4.如权利要求1～3任一所述的方法，其特征在于，将所述网络流量，分别与多个安全检测策略组各自包含的访问控制规则进行规则匹配，包括：

5.如权利要求4所述的方法，其特征在于，在基于所述网络流量的流方向，确定所述网络流量的源安全域信息和目的安全域信息之前，所述方法还包括：

6.如权利要求1～3任一所述的方法，其特征在于，在匹配成功时，基于命中的目标访问控制规则对所述网络流量进行访问控制，包括：

7.一种云防火墙配置方法，其特征在于，应用于防火墙后台服务器，所述方法包括：

8.如权利要求7所述的方法，其特征在于，基于至少一种配置规则，以及所述云租户关联的目标地址对象，分别对至少一种安全检测功能各自对应的规则模板进行填充处理，包括：

9.如权利要求8所述的方法，其特征在于，所述基于配置规则所指示的流方向填充规则模板中的安全域字段，包括：

10.如权利要求7～9任一所述的方法，其特征在于，所述云防火墙设备的开关策略组包含功能开关规则，且未命中所述功能开关规则的网络流量需要进行安全检测；

11.如权利要求7～9任一所述的方法，其特征在于，所述至少一种安全检测功能包括入侵防御功能；

12.如权利要求7～9任一所述的方法，其特征在于，所述方法还包括：

13.一种流量安全检测装置，其特征在于，应用于云防火墙设备，所述装置包括：

14.一种云防火墙配置装置，其特征在于，应用于防火墙后台服务器，所述装置包括：

15.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，

16.一种计算机存储介质，其上存储有计算机程序，其特征在于，

17.一种计算机程序产品，包括计算机程序，其特征在于，

技术总结
本申请公开了一种流量安全检测和云防火墙配置方法、装置及设备，涉及云安全防护技术领域。通过本申请的技术方案，云租户可以针对每种安全检测功能下发配置规则，则防火墙后台服务器可以基于配置规则来生成云租户粒度的访问控制规则，并下发到云防火墙设备中的相应安全检测策略组中，从而云防火墙设备可以在确定网络流量的目标地址对象已开启云防火墙功能时，则可以基于自身存储的各个安全检测策略组中的访问控制规则对该网络流量进行访问控制。因此，本申请能够从云租户粒度或者地址对象粒度来进行防火墙功能的配置，相应的，云防火墙设备则可以基于云租户粒度或者地址对象粒度进行流量访问控制，提升了云防火墙对于流量防护的精准性。

技术研发人员：付言华
受保护的技术使用者：腾讯云计算（北京）有限责任公司
技术研发日：
技术公布日：2024/1/13