本发明涉及通信及云计算,尤其涉及一种应用防火墙集群高可用实现方法及系统。
背景技术:
1、saas waf(web application firewall)是部署在互联网的软件即服务saas化web应用防火墙,它通过过滤和监视web应用程序与internet之间的http通信来帮助保护web应用程序,支持多租户,共享物理资源。
2、saas waf集群中,可通过cname引流方式实现客户web应用防护。cname引流方式是指通过创建一个cname(canonical name,权威名称)记录来引导流量到指定的目标网址。这种引流方式通常用于网站重定向或者指向其他域名的情况。当用户访问一个网站时,通过cname引流可以将访问流量重定向到另一个指定的网址,实现流量引导和转发的目的。这种方式在网络运营、内容分发和网站管理中经常被使用。
3、当一个saas waf集群故障了,会影响到大量客户的web应用,因此需要在不同地区部署多个saas waf集群,以实现多个saas waf集群高可用。用户可购买多个位于云端的saas waf服务,并部署在多个区域,通过配置多个cname实现高可用,然而,多个saas waf服务的防护配置需要逐一下发,无法做到统一下发。多区域的配置的备份通常由客户实现,云服务提供商没有实现,因此无法做到多个saas waf服务在故障后的统一切换。
技术实现思路
1、有鉴于此,本发明提供一种应用防火墙集群高可用实现方法及系统,用于解决saas waf服务高可用的技术问题。
2、基于本发明实施例的一方面,本发明提供了一种应用防火墙集群高可用实现方法,该方法包括:
3、软件即服务化web应用防火墙saas waf管理平台基于请求将saas waf集群的配置下发给saas waf集群;所述saas waf管理平台管理多个saas waf集群,所述saas waf集群的配置包含waf代理配置和防护配置;
4、saas waf管理平台为租户的web站点生成引流域名cname,并将引流域名cname下发到全局负载均衡设备glb上,以建立引流域名与全局waf虚服务池的映射关系;所述多个saas waf集群被配置为一个全局waf虚服务池;
5、通过全局负载均衡设备glb实现waf服务的全局负载均衡;所述全局负载均衡设备glb上配置有waf全局域名服务器,通过waf全局域名服务器实现saas waf服务引流域名cname的全局解析和对各saas waf集群的监控。
6、进一步地,所述saas waf管理平台基于请求包括基于saas waf服务开通请求;
7、所述saas waf管理平台接收客户端发送的saas waf服务开通请求,请求中携带需要防护web站点的域名和ip地址;
8、所述saas waf管理平台基于saas waf服务开通请求将saas waf集群的配置下发给saas waf集群。
9、进一步地,所述saas waf管理平台基于请求包括基于saas waf集群故障恢复请求;
10、所述saas waf管理平台基于saas waf集群故障恢复请求,由运营商将saas waf集群的配置下发给saas waf集群。
11、进一步地,所述方法还包括:
12、通过所述saas waf管理平台为需要保护的站点配置全局dns监听器,通过全局dns监听器接收客户端发送的saas waf服务的dns解析请求;
13、通过所述saas waf管理平台为需要保护的站点配置全局waf虚服务池,并为全局waf虚服务池配置健康检测算法以实现全局waf虚服务池内的saas waf集群的监控;
14、通过所述saas waf管理平台为需要保护的站点配置全局dns映射,将saas waf服务的引流域名映射到全局waf虚服务池;
15、通过所述saas waf管理平台将全局dns监听器、全局waf虚服务池配置及全局dns映射下发给全局负载均衡设备glb。
16、进一步地,通过所述saas waf管理平台为需要保护的站点配置全局waf虚服务池时,根据不同saas waf集群的带宽为各saas waf集群配置权值,以实现全局waf虚服务池内多个saas waf集群基于带宽权值的负载分担。
17、基于本发明实施例的另一方面,本发明还提供一种应用防火墙集群高可用实现系统,该系统包括:
18、全局负载均衡设备glb,用于实现waf服务的全局负载均衡,其配置有waf全局域名服务器,waf全局域名服务器用于实现saas waf服务引流域名的全局解析和对各saas waf集群的监控;
19、saas waf管理平台,用于开/关saas waf服务,对多个saas waf集群及全局负载均衡设备glb进行配置下发,还用于生成saas waf服务的引流域名并下发引流域名到glb设备从而建立saas waf服务的引流域名到各saas waf集群的全局dns映射;
20、saas waf集群,用于接收客户端发送的waf服务请求,对请求进行处理和响应。
21、进一步地,所述saas waf管理平台包括:
22、服务开/关模块,用于响应saas waf服务开/关请求,开启/关闭saas waf服务;
23、waf集群配置模块,用于对saas waf集群进行配置并将配置下发给各saas waf集群;
24、全局负载均衡配置模块,用于对全局负载均衡设备glb进行配置并将配置下发给全局负载均衡设备glb。
25、进一步地,所述全局负载均衡配置模块包括:
26、全局dns监听器配置模块,用于配置全局dns监听器,全局dns监听器用于接收客户端发送的saas waf服务的dns解析请求;
27、全局waf虚服务池配置模块,用于将多个saas waf集群配置为一个全局waf虚服务池,将全局waf虚服务池作为一个整体对外提供统一waf服务虚ip地址;全局waf虚服务池支持多种健康检测算法用于实现全局waf虚服务池内的saas waf集群的监控;
28、全局dns映射配置模块,用于将saas waf服务的引流域名映射到全局waf虚服务池,建立saas waf服务的引流域名与全局waf虚服务池的映射关系。
29、进一步地,所述全局waf虚服务池配置模块还用于根据不同saas waf集群的带宽为各saas waf集群配置权值,实现全局waf虚服务池内多个saas waf集群基于带宽权值的负载分担。
30、进一步地,所述全局dns映射配置模块还用于配置多个全局waf虚服务池;所述全局负载均衡设备glb基于配置的多个全局waf虚服务池,在多个全局waf虚服务池之间进行负载分担。
31、本发明通过saas waf管理平台对多个saas waf集群进行集中的管理和配置下发,并通过全局负载均衡设备glb实现waf服务的全局负载均衡。通过glb多个saas waf集群进行监控,能够实现在某个waf集群故障时将业务流量切换到正常的由saas waf集群,并通过管理平台统一重新下发配置给集群,从而实现多个saas waf集群的高可用。
1.一种应用防火墙集群高可用实现方法,其特征在于,该方法包括:
2.根据权利要求1所述的方法,其特征在于,
3.根据权利要求1所述的方法,其特征在于,
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,
6.一种应用防火墙集群高可用实现系统,其特征在于,该系统包括:
7.根据权利要求6所述的系统,其特征在于,所述saas waf管理平台包括:
8.根据权利要求7所述的系统,其特征在于,所述全局负载均衡配置模块包括:
9.根据权利要求7所述的系统,其特征在于,
10.根据权利要求8所述的系统,其特征在于,
