一种云环境下应用防火墙全生命周期管理的方法及系统与流程

1.本发明涉及云计算技术领域，具体为一种云环境下应用防火墙全生命周期管理的方法及系统。


背景技术：

2.随着云计算技术的发展和快速落地，越来越多的大企业内建私有云或者建设公有云，同时对容灾、审计、安全防护等方面需求日渐明确，基础设施的数量也快速增长。
3.现有技术中，就安全防护需求来说，建设中用到的不同功能不同厂家产品众多，产品的管理使用因厂家而异。
4.但是，传统方式下使用过程中人工去操作，包括产品的部署、配置、监控分析、销毁全生命周期，叠加各厂家对产品细节的不同理解造成的概念和管理上差异，耗费的人力、时间成本是不可估量的。


技术实现要素：

5.本发明的目的在于提供一种云环境下应用防火墙全生命周期管理的方法及系统，将运维人员从现有手动配置管理的繁琐工作中解放出来，无需关注第三方厂家之间的差异，仅需使用统一的云管平台可视化页面，按照云管平台的使用手册进行低门槛操作即可，本发明设计的方法会完成最大化全生命周期管理。
6.为实现上述目的，本发明提供如下技术方案：一种云环境下应用防火墙全生命周期管理的方法，所述云环境下应用防火墙全生命周期管理的方法包括以下步骤：
7.第三方应用防火墙授权服务部署在管理区域或互联网获取；
8.云管平台页面触发自动部署，授权获取，服务激活；
9.云管平台提供统一、通俗、简单易懂页面进行配置、监控；
10.云管平台根据防护资源配置自动实现流量引导；
11.云管平台周期自动监测服务到期情况，服务到期后释放许可并将资源暂存一定保留时长，保留时长截止可自动销毁释放资源。
12.优选的，功能授权通过互联网直接获取，将其授权服务部署在管理区域，预购授权保存在授权服务上，不存在外部网络攻击风险。
13.优选的，自动部署通过云管平台调用底层虚拟化平台api实现。
14.优选的，云管平台根据自动部署时选择的被防护资源，自动将请求流量送达应用防火墙并将应用防火墙放行的流量送达被防护资源，同时保证被防护资源返回的信息经由应用防火墙送达请求客户端，应用防火墙支持vlan、vxlan技术，流量引导支持的虚拟平台包括vmware、kvm。
15.优选的，云管平台周期性自动监测服务到期状况，云管平台自动将到期资源释放授权并迁移暂存于资源回收池，云管平台将保留时长截止的到期资源通过虚拟平台api自动销毁释放。
16.一种云环境下应用防火墙全生命周期管理的系统，所述该系统由授权部署模块、授权获取模块、配置模块、引导模块以及监测模块构成；
17.授权部署模块，用于第三方应用防火墙授权服务部署在管理区域或互联网获取；
18.授权获取模块，用于云管平台页面触发自动部署，授权获取，服务激活；
19.配置模块，用于云管平台提供统一、通俗、简单易懂页面进行配置、监控；
20.引导模块，用于云管平台根据防护资源配置自动实现流量引导；
21.监测模块，用于云管平台周期自动监测服务到期情况，服务到期后释放许可并将资源暂存一定保留时长，保留时长截止可自动销毁释放资源。
22.优选的，所述授权部署模块中，功能授权通过互联网直接获取，将其授权服务部署在管理区域，预购授权保存在授权服务上，不存在外部网络攻击风险。
23.优选的，所述授权获取模块中，自动部署通过云管平台调用底层虚拟化平台api实现。
24.优选的，所述引导模块中，云管平台根据自动部署时选择的被防护资源，自动将请求流量送达应用防火墙并将应用防火墙放行的流量送达被防护资源，同时保证被防护资源返回的信息经由应用防火墙送达请求客户端，应用防火墙支持vlan、vxlan技术，流量引导支持的虚拟平台包括vmware、kvm。
25.优选的，所述监测模块中，云管平台周期性自动监测服务到期状况，云管平台自动将到期资源释放授权并迁移暂存于资源回收池，云管平台将保留时长截止的到期资源通过虚拟平台api自动销毁释放。
26.与现有技术相比，本发明的有益效果是：
27.本实用提出的云环境下应用防火墙全生命周期管理的方法及系统鉴于目前第三方应用防火墙的管理，包括部署、配置管理、监控、销毁，是运维人员持续进行手动配置，本发明提供一种云环境下应用防火墙全生命周期管理方法，将运维人员从现有手动配置的繁琐工作中解放出来，他们仅需按照云管平台提供的统一页面触发按钮进行部署、配置、监控以及销毁，减轻运维人员的工作量。
附图说明
28.图1为本发明线下授权框图；
29.图2为本发明线上授权框图；
30.图3为应用防火墙全生命周期自动化管理的工作流程。
具体实施方式
31.为了使本发明的目的、技术方案进行清楚、完整地描述，及优点更加清楚明白，以下结合附图对本发明实施例进行进一步详细说明。应当理解，此处所描述的具体实施例是本发明一部分实施例，而不是全部的实施例，仅仅用以解释本发明实施例，并不用于限定本发明实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
32.在本发明的描述中，需要说明的是，术语“中心”、“中”、“上”、“下”、“左”、“右”、“内”、“外”、“顶”、“底”、“侧”、“竖直”、“水平”等指示的方位或位置关系为基于附图所示的
方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“一”、“第一”、“第二”、“第三”、“第四”、“第五”、“第六”仅用于描述目的，而不能理解为指示或暗示相对重要性。
33.在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
34.出于简明和说明的目的，实施例的原理主要通过参考例子来描述。在以下描述中，很多具体细节被提出用以提供对实施例的彻底理解。然而明显的是，对于本领域普通技术人员，这些实施例在实践中可以不限于这些具体细节。在一些实例中，没有详细地描述公知方法和结构，以避免无必要地使这些实施例变得难以理解。另外，所有实施例可以互相结合使用。
35.实施例一
36.请参阅图1至图2，本发明提供一种技术方案：一种云环境下应用防火墙全生命周期管理的方法，所述云环境下应用防火墙全生命周期管理的方法包括以下步骤：
37.第三方应用防火墙授权服务部署在管理区域或互联网获取；功能授权通过互联网直接获取，将其授权服务部署在管理区域，预购授权保存在授权服务上，不存在外部网络攻击风险；
38.云管平台页面触发自动部署，授权获取，服务激活；自动部署通过云管平台调用底层虚拟化平台api实现；
39.云管平台提供统一、通俗、简单易懂页面进行配置、监控；
40.云管平台根据防护资源配置自动实现流量引导；云管平台根据自动部署时选择的被防护资源，自动将请求流量送达应用防火墙并将应用防火墙放行的流量送达被防护资源，同时保证被防护资源返回的信息经由应用防火墙送达请求客户端，应用防火墙支持vlan、vxlan技术，流量引导支持的虚拟平台包括vmware、kvm；
41.云管平台周期自动监测服务到期情况，服务到期后释放许可并将资源暂存一定保留时长，保留时长截止可自动销毁释放资源；云管平台周期性自动监测服务到期状况，云管平台自动将到期资源释放授权并迁移暂存于资源回收池，云管平台将保留时长截止的到期资源通过虚拟平台api自动销毁释放。
42.实施例二
43.一种如上述权云环境下应用防火墙全生命周期管理的系统，所述该系统由授权部署模块、授权获取模块、配置模块、引导模块以及监测模块构成；
44.授权部署模块，用于第三方应用防火墙授权服务部署在管理区域或互联网获取；功能授权通过互联网直接获取，将其授权服务部署在管理区域，预购授权保存在授权服务上，不存在外部网络攻击风险；
45.授权获取模块，用于云管平台页面触发自动部署，授权获取，服务激活，自动部署通过云管平台调用底层虚拟化平台api实现；
46.配置模块，用于云管平台提供统一、通俗、简单易懂页面进行配置、监控；
47.引导模块，用于云管平台根据防护资源配置自动实现流量引导；云管平台根据自动部署时选择的被防护资源，自动将请求流量送达应用防火墙并将应用防火墙放行的流量送达被防护资源，同时保证被防护资源返回的信息经由应用防火墙送达请求客户端，应用防火墙支持vlan、vxlan技术，流量引导支持的虚拟平台包括vmware、kvm；
48.监测模块，用于云管平台周期自动监测服务到期情况，服务到期后释放许可并将资源暂存一定保留时长，保留时长截止可自动销毁释放资源，云管平台周期性自动监测服务到期状况，云管平台自动将到期资源释放授权并迁移暂存于资源回收池，云管平台将保留时长截止的到期资源通过虚拟平台api自动销毁释放。
49.实施例三
50.参照附图3所示，本发明提供一种云环境下应用防火墙全生命周期管理的方法，所述的方法包括如下步骤：
51.1)云管平台所有基础设施、网络部署并调试完成；
52.2)访问云管平台可视化页面，选定应用防火墙的吞吐量(提供使用场景推荐配置)、使用时长、是否高可用等元素；
53.3)选定应用服务器或云负载均衡等防护资源，按照云管平台资源创建原则，通过api部署承载应用防火墙服务的载体；
54.4)创建成功后，通过管理区域授权服务或互联网授权获取功能授权；
55.5)获取功能授权后，通过云管平台进行策略配置，配置成功后该应用防火墙服务可正常提供安全防护功能；
56.6)用户根据实际应用场景需求通过云管平台对应用防火墙服务变更被防护资源；
57.7)应用防火墙投入使用之后可以通过云管平台随时查看监控数据，包括性能、攻击以及日志记录等，根据这些使用效果用户可进行配置调整使功能发挥到最佳状态；
58.8)云管平台在应用防火墙部署使用之后周期性自动判断服务使用截止时间，如果监测到服务到期会给用户发出通知(短信、邮件等形式)，用户通过云管平台进行续订服务或者任服务到期后云管平台自动处理；
59.9)云管平台将监测的已到期服务资源迁移到资源回收区并释放授权，暂存云管平台设置的保留时长，若用户在保留时长内想要继续使用则将资源重新迁移回业务区，若用户无需求则保留时长截止时云管平台自动销毁释放资源，至此完成第三方应用防火墙全生命周期管理。
60.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。