一种网络防护系统、方法及存储介质与流程

1.本技术涉及网络安全防护领域，尤其涉及一种网络防护系统、方法及存储介质。


背景技术：

2.现有技术中，各云服务厂家、安全服务厂家都创建了网络应用防护系统(web application firewall，waf)的云模式，为云服务上或云服务下的租户提供软件即服务(software as a service，saas)化的网络应用防护服务，用户根据源站防护需求，在云waf提供的各种基本防护策略中选择源站对应的防护策略进行源站防护。
3.目前，云waf的实现技术主要利用高防代理技术和安全资源池的方式实现，而利用高防代理技术和安全资源池的方式实现的云waf，在对不同租户的访问流量数据进行处理的过程中，所有的租户仍然共享一个安全防护系统，无法实现为每个租户单独部署一个防护实例，若共享安全防护系统出现故障时，会影响到每个租户的业务安全防护功能，导致每个租户对应的业务安全防护功能较差。


技术实现要素：

4.有鉴于此，本技术实施例期望提供一种网络防护系统、方法及存储介质，能够为每个租户单独部署一个防护实例，实现不同租户之间业务安全防护功能的隔离，提高每个租户的业务安全防护功能。
5.为达到上述目的，本技术的技术方案是这样实现的：
6.第一方面，本技术实施例提供一种网络防护系统，网络防护系统包括：管理节点和数据处理节点；管理节点中包含服务开通模块和配置管理模块；服务开通模块，用于接收服务开通请求，并基于服务开通请求开通对应的服务；记录服务对应的服务信息及用户信息；并向所述数据处理节点发送所述服务信息；配置管理模块，用于创建用户信息对应的安全防护源站；在安全防护源站上配置安全防护源站对应的防护信息；并向数据处理节点发送防护信息；数据处理节点，用于基于服务信息和防护信息创建用户信息对应的防护实例，以及将安全防护源站对应的访问流量转发至防护实例中，以供防护实例对访问流量进行检测和流量清洗。
7.第二方面，本技术实施例提供一种网络防护方法，应用于网络防护系统，所述方法包括：
8.服务开通模块在接收到服务开通请求的情况下，基于服务开通请求开通对应的服务；记录服务对应的服务信息及用户信息；并向数据处理节点发送所述服务信息；
9.配置管理模块创建用户信息对应的安全防护源站；并在安全防护源站上配置安全防护源站对应的防护信息；并向数据处理节点发送防护信息；
10.数据处理节点基于服务信息和防护信息，创建用户信息对应的防护实例，以及将安全防护源站对应的访问流量转发至防护实例中，以供防护实例对访问流量进行检测和流量清洗。
11.第三方面，本技术实施例提供一种存储介质，其上存储有计算机程序，该计算机程序被执行时实现上述网络防护方法。
12.本技术实施例提供一种网络防护系统、方法及存储介质，该网络防护系统包括：管理节点和数据处理节点管理节点中包含服务开通模块和配置管理模块；服务开通模块，用于接收服务开通请求，并基于服务开通请求开通对应的服务；记录服务对应的服务信息及用户信息；并向所述数据处理节点发送所述服务信息；配置管理模块，用于创建用户信息对应的安全防护源站；在安全防护源站上配置安全防护源站对应的防护信息；并向数据处理节点发送防护信息；数据处理节点，用于基于服务信息和防护信息创建用户信息对应的防护实例，以及将安全防护源站对应的访问流量转发至防护实例中，以供防护实例对访问流量进行检测和流量清洗。采用上述网络防护系统的实现方案，在进行网络防护的过程中，租户能够通过管理节点中的服务开通模块开通对应的服务，不同租户在开通的对应的服务中创建对应的安全防护源站，并在源站中设置不同租户对应的安全防护信息，数据处理节点根据不同源站中设置的安全防护信息，创建不同租户的防护源站对应的防护实例，通过为每个租户部署一个防护实例的方式，在访问流量到达时，根据对应的转发策略将不同租户的访问流量转发至对应的防护实例中进行检测和清洗，在对源站防护的过程中各租户之间互不干扰，且在一个租户的防护实例出现故障的情况下，也不会影响其他租户对应的防护实例对防护源站的防护功能，能够实现不同租户之间的安全防护功能的隔离，提高每个租户的业务安全防护功能。
附图说明
13.图1为本技术实施例提供的一种网络防护系统示意图一；
14.图2为本技术实施例提供的一种示例性的防护实例升级过程示意图；
15.图3为本技术实施例提供的一种网络防护系统示意图二；
16.图4为本技术实施例提供的一种网络防护方法流程图。
具体实施方式
17.为了能够更加详尽地了解本技术实施例的特点及技术内容，下面结合说明书附图及具体实施例对本技术的技术方案做进一步的详细阐述，所附附图仅供参考说明之用，并非用来限定本技术实施例。
18.除非另有定义，本文所使用的所有技术和科学术语与属于本技术的技术领域的技术人员通常理解的含义相同。本文所使用的术语只是为了描述本技术实施例的目的，不是旨在限制本技术。
19.在以下的描述中，涉及到“一些实施例”，其描述了所有可能实施例的子集，但是可以理解，“一些实施例”可以是所有可能实施例的相同子集或不同子集，并且可以在不冲突的情况下相互结合。还需要指出，本技术实施例所涉及的术语“第一/第二/第三”仅是用于区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一/第二/第三”在允许的情况下可以互换特定的顺序或先后次序，以使这里描述的本技术实施例能够以除了在这里图示或描述以外的顺序实施例。
20.现有技术中，利用云waf进行网络防护过程中，存在以下技术问题：多租户的隔离
仅仅是不同安全防护配置数据的存储隔离，但是在防护系统底层的安全防护能力仍然是共享，无法实现一个租户一个安全防护实例单独部署，一旦底层共享的安全防护能力出现故障，会影响所有的多租户安全防护业务的故障；另外共享的安全防护实例出现故障后无法实现自愈，需要人工手动恢复，同时也无法实现灰度发布，影响业务连续性和用户使用体验；最后，新的安全漏洞防护规则在更新时是全局生效，无法针对特定租户提供特定的模板，也无法针对特定的模板进行一键升级和回退操作。
21.为解决现有技术中的技术问题，本技术实施例提供的一种网络防护系统1，如图1所示，网络防护系统1包括：
22.管理节点10和数据处理节点11；管理节点10中包含服务开通模块100和配置管理模块101；服务开通模块100，用于接收服务开通请求，并基于服务开通请求开通对应的服务；记录服务对应的服务信息及用户信息；并向所述数据处理节点发送所述服务信息；配置管理模块101，用于创建用户信息对应的安全防护源站；在安全防护源站上配置安全防护源站对应的防护信息；并向数据处理节点11发送防护信息；数据处理节点11，用于基于服务信息和防护信息创建用户信息对应的防护实例，以及将安全防护源站对应的访问流量转发至防护实例中，以供防护实例对访问流量进行检测和流量清洗。
23.在本技术实施例中，云waf就是web应用防火墙的云模式，是一款专门针对于网站web应用攻击的防护产品，云waf是基于云端开发，用户不需要安装软件产品，只需要在网页上注册账号，添加域名、ip、备案号等相关信息，将域名解析到waf防护节点上，即可实现对网站防护。
24.在本技术实施例中，在对云waf防护系统进行部署时，首先通过对不同租户的云waf防护系统进行实例化操作，再利用kubernetes容器化技术对实例化后的云waf防护系统进行实例化部署。
25.在本技术实施例中，kubernetes也被称为k8s或kube，是谷歌推出的业界最受欢迎的容器编排工具，用于自动化部署、扩展和管理容器化应用的开源容器编排器技术。k8s使部署和管理微服务架构应用程序变得很简单。它通过在集群之上形成一个抽象层来实现这一点，允许开发团队平滑地部署应用程序，k8s主要用于控制和管理应用程序对资源的使用；自动负载均衡应用程序的多个实例之间请求；监控资源使用和资源限制；在主机资源耗尽或主机死机时，将应用程序实例从一台主机迁移到另一台主机；当有新的主机加入集群时，新增加的额外资源可以被自动使用。
26.在本技术实施例中，云waf安全防护系统包括管理节点10和数据处理节点11，管理节点10和数据处理节点11都可以部署在k8s集群中，管理节点10可以实现对整个集群的管理工作，数据处理节点11是真正处理业务的节点。
27.在本技术实施例中，在k8s集群中，云waf安全防护系统的管理节点10中包含服务开通模块100，租户可以根据自身的需求，在服务开通模块100中发起服务开通的请求消息，利用服务开通模块100对租户开通waf服务的请求消息进行处理，可以为发起请求的租户开通对应的waf服务。
28.在本技术实施例中，在进行租户waf服务开通时，记录开通的waf服务对应的租户信息以及开通的服务信息，其中，租户信息可以是具体的运营公司或是具体的个人信息等；服务信息可以是防护带宽、业务带宽及请求每秒处理事务数qps等。
29.在本技术实施例中，在服务开通模块记录开通的waf服务对应的租户信息以及开通的服务信息之后，还可以将记录的服务信息发送至数据处理节点，数据处理节点可以利用接收到的服务信息进行对应业务的处理。
30.在本技术实施例中，管理节点10中还包含有配置管理模块101，利用配配置管理模块101可以为租户开通的waf服务配置对应的防护信息。
31.在申请实施例中，在开通租户对应的waf服务之后，租户可以通过管理节点10中的配置管理模块101创建租户信息对应的安全防护源站。
32.示例性地，可以是a租户开通的waf服务，为a租户创建一个安全防护源站1，b租户也开通了waf服务，为b租户创建一个安全防护源站2。
33.在本技术实施例中，配置管理模块101创建租户信息对应的安全防护源站之后，利用配置管理模块101在安全防护源站上配置租户信息对应的防护信息，其中，防护信息可以是防护的源站ip、源站端口号、以及安全协议通道ssl证书信息等。
34.需要说明的是，防护信息可以根据实际情况进行选择，本技术中不做具体的限定。
35.在本技术实施例中，在k8s集群中，云waf安全防护系统中还包含数据处理节点11，在配置管理模块101进行防护的源站ip、源站端口号、以及安全协议通道ssl证书信息配置时，还向数据处理节点11发送创建租户开通的waf服务对应的防护实例vwaf pod的指令消息。
36.需要说明的是，配置管理模块101发送的指令消息中携带防护信息对应的防护源站ip、源站端口号、以及安全协议通道ssl证书信息等。
37.在本技术实施例中，在创建租户开通的waf服务对应的防护实例vwaf pod时，数据处理节点可以根据服务开通模块发送的服务信息，其中包含防护带宽、qps信息等，创建租户开通的waf服务对应的防护实例vwaf pod。
38.需要说明的是，一个租户可以对应于多个防护实例vwaf pod。
39.需要说明的是，创建防护实例vwaf pod的具体实现过程不限于本技术中实现的方法，具体地，可以根据实际情况进行选择，本技术中的不做具体的限定。
40.在本技术实施例中，在为租户创建对应的防护实例vwaf pod成功之后，在防护实例vwaf pod中设置该防护实例vwaf pod对应发送指令中携带的防护信息以及服务信息等，具体地，可以是在防护实例vwaf pod中设置源站ip、源站端口号、防护带宽以及qps信息等。
41.在本技术实施例中，配置管理模块101在防护实例vwaf pod中设置好对应的防护信息以及服务信息之后，数据处理节点11可以对防护信息和服务信息进行处理，得到防护实例对应的防护实例标签，通过防护实例标签确定出访问流量对应的防护实例，并将安全防护源站对应的访问流量转发至对应的防护实例。
42.在本技术实施例中，可以利用特定的规则，根据防护实例中设置的防护信息和服务信息，生成该防护实例对应的vwaf pod标签。具体地，生成vwaf pod标签的方式可以根据实际情况进行选择，本技术中不做具体的限定。
43.在本技术实施例中，vwaf pod标签与防护实例vwaf pod是一一对应的关系，根据vwaf pod标签可以确定唯一的一个对应的防护实例vwaf pod，当有访问流量对租户要防护的源站进行访问时，根据vwaf pod标签可以确定出租户要保护的源站对应的防护实例vwaf pod。
44.需要说明的是，本技术中通过为不同的租户创建不同的防护实例vwaf pod，实现了在数据处理节点中，不同租户之间的防护能力实现相互隔离。
45.在本技术实施例中，管理节点10中还包含对象创建模块，利用对象创建模块可以为数据处理节点11创建流量转发对象，并将流量转发对象与防护实例进行关联，以实现通过流量转发对象将安全防护源站对应的访问流量转发至对应的防护实例中，实现对访问流量的检测和流量清洗。
46.在本技术实施例中，数据处理节点11在完成防护实例vwaf pod的创建之后，用户可以通过管理节点10中的对象创建模块创建数据处理节点11中用于进行流量转发的对象service。
47.在本技术实施例中，在创建流量转发对象service时，可以将创建的流量转发对象service与生成的vwaf pod标签通过数据表中设置的字段进行关联，通过对象service对象可以将访问流量转发至不同的vwaf pod标签，在通过vwaf pod标签确定出对应的防护实例vwaf pod上，进行该租户的防护实例对应的访问流量的检测和清洗。
48.在本技术实施例中，在通过对象service进行访问流量转发的过程中，还需要创建对象service进行流量转发的入口ingress对象。
49.在本技术实施例中，ingress对象可以根据防护源站中配置的服务信息或防护信息进行创建。
50.需要说明的是，ingress对象的创建可以是利用除本技术以外的其他方式进行创建，具体地，可以根据实际情况进行选择，本技术中不做具体的限定。
51.在本技术实施例中，在创建ingress对象完成之后，在ingress对象中设置不同的防护源站域名绑定对应的转发对象service，通过ingress对象与转发对象service之间的关系，可以将不同的防护源站对应的访问流量通过入口ingress对象转发至不同的转发对象service上，再通过转发对象service与vwaf pod标签之间的关系，确定出对访问流量进行防护的防护实例vwaf pod，实现vwaf pod对多个用户站点的防护。
52.在本技术实施例中，数据处理节点11可以通过入口ingress对象，将安全防护源站对应的访问流量通过与之关联的转发对象service，确定出要进行转发的vwaf pod标签，进一步通过vwaf pod标签确定安全防护源站对应的防护实例，通过确定出的安全防护实例对访问流量进行检测和流量清洗。
53.需要说明的是，在安全防护实例中对访问流量进行检测和流量清洗之后，将清洗后的流量代理回注租户源站中，实现对租户源站的安全防护。
54.可选地，在本技术实施例中，管理节点10还包括日志中心，在防护实例检测到访问流量中存在攻击流量对应的攻击信息，并将攻击信息传输至日志中心的情况下，输出攻击信息。
55.在本技术实施例中，在对租户源站进行访问的流量转发至租户对应的防护实例vwaf pod中时，数据处理节点11中的防护实例vwaf pod对访问流量进行检测，在数据处理节点11中的防护实例vwaf pod检测到访问流量中存在攻击流量时，防护实例vwaf pod中的以边车方式sidecar部署的agent日志上报模块会采集攻击流量的详情信息，并将攻击流量的详细信息传输到管理节点10中的日志中心，租户可以通过管理节点10中的日志中心查看攻击信息的详细信息。
56.需要说明的是，传统的进行日志采集的方式中，需要将日志采集模块agent提前部署到防护实例中，并且在配置好防护实例后再进行采集规则配置。而本技术中利用的边车方式sidecar运行的agent日志上报模块，通过将日志采集模块agent与防护实例vwaf pod打包在一起，随着用户业务创建而自动创建和配置，提升了效率，并且在发生故障时候，不影响其他用户日志的正常采集与呈现，能够实现不同租户防护源站之间的故障隔离。
57.可选地，在本技术实施例中，管理节点10还包括策略管理模块，策略管理模块，用于为防护实例配置安全防护策略，以供防护实例利用安全防护策略对访问流量进行检测和流量清洗。
58.在本技术实施例中，在创建完成防护实例，并利用防护实例对租户的源站进行防护的过程中，租户还可以设置自定义的安全防护策略。具体地，租户还可以根据防护源站在业务中的需求，在管理节点中的策略管理模块中自定义安全防护策略配置信息，其中，自定义安全防护策略配置可以是ip黑白名单、url黑白名单、流量标记等自定义策略。
59.在本技术实施例中，租户通过管理节点，根据防护源站当前的需求，可以在防护源站对应的防护实例中设置自定义的安全防护策略，防护实例可以根据设置的安全防护策略对防护源站进行更安全的防护，防护源站的安全性更高。
60.可选地，管理节点10还包括镜像中心模块，镜像中心模块用于对安全防护策略进行处理，生成安全防护策略对应的镜像文件，以利用镜像文件实现对安全防护策略的模板化配置。
61.在本技术实施例中，当租户根据防护源站当前的需求，对创建的防护实例vwaf pod进行修改，得到租户自定义的防护实例vwaf pod。
62.在本技术实施例中，租户可以在防护实例中自定义安全防护策略，镜像中心模块可以将设置有租户自定义的安全防护策略的防护实例vwaf pod生成安全防护配置模板，并且将安全防护配置模板以镜像的方式存储至镜像中心模块对应的数据库中。
63.需要说明的是，自定义的不同安全防护策略对应的防护实例vwaf pod可以生成不同的安全防护配置模板，不同的安全防护配置模板对应于不同版本的防护实例vwaf pod。
64.在本技术实施例中，在进行安全防护实例配置时，可以通过直接获取对应版本的安全防护实例实现不同安全防护实例的模板化配置。
65.在本技术实施例中，当租户需要增加一个安全防护实例，可以通过镜像中心模块获取到对应的安全防护实例的镜像文件，直接利用获取的防护实例的镜像文件对新增的防护实例实现自定义的安全防护策略设置，不需要再为新增的防护实例进行自定义的配置。
66.需要说明的是，通过使用镜像版本控制的方法，实现waf不同防护策略的模板化版本控制，从而针对不同的防护需求选择使用不同版本的镜像进行waf实例部署。
67.可选地，在本技术实施例中，镜像中心模块还用于对每一版本的防护实例进行处理，得到多个版本的防护实例镜像文件，以及利用预设的滚动升级策略，从多个版本的防护实例镜像文件中确定目标版本的防护实例镜像文件，并基于目标版本的防护实例镜像文件进行当前防护实例版本的更改。
68.在本技术实施例中，在对租户对应的防护实例vwaf pod的防护功能进行升级时，对完成的每一个版本对应的防护实例的开发软件进行发布的过程中，可以通过对不同版本的防护实例vwaf pod进行处理，生成不同版本的防护实例对应的镜像文件，并将生成的镜
像文件传输至镜像中心模块中，租户通过从管理节点10中的镜像中心模块选择防护实例对应的新的镜像文件，将新的镜像文件关联至防护源站，k8s利用滚动升级策略，逐步利用新版本的防护实例vwaf pod替代旧版本的防护实例vwaf pod，完成防护实例vwaf pod版本升级的过程。
69.示例性地，如图2所示，通过k8s中的控制器rc，可以在一个控制器rc下关联多个防护实例vwaf pod，在将防护实例vwaf pod从版本v1升级到版本v2时，利用滚动升级策略，可以是先选择第一个版本v1的防护实例vwaf pod，然后从镜像中心中选取一个版本v2的防护实例vwaf pod，利用版本v2的防护实例vwaf pod替换第一个版本v1的防护实例vwaf pod，完成租户对应的防护实例中一个防护实例vwaf pod的升级，依次类推，选择出第二个版本v1的防护实例vwaf pod，然后从镜像中心中选取一个版本v2的防护实例vwaf pod，利用版本v2的防护实例vwaf pod替换第二个版本v1的防护实例vwaf pod，完成租户对应的防护实例中的第二个防护实例vwaf pod的升级，直至租户对应的所有版本为v1的防护实例vwaf pod全部替换为版本为v2的防护实例vwaf pod。
70.需要说明的是，当rc关联的防护实例vwaf pod中出现一个或多个防护实例出现故障时，数据处理节点就会创建新的防护实例vwaf pod，以保证运行的防护实例vwaf pod的数量达到预期的数量。
71.在本技术的另一实施例中，当需要对防护实例中对应的防护策略进行升级时，其中，防护实例对应的防护策略可以是0day漏洞防护的策略，可以是通过将更新的防护策略对应的防护实例制作为镜像文件，将镜像文件上传至镜像中心，租户通过从管理节点中的镜像中心模块选择防护实例对应的新的镜像文件，将新的镜像文件关联至防护源站，k8s利用滚动升级策略，逐步利用新版本的防护实例vwaf pod替代旧版本的防护实例vwaf pod，完成防护实例vwaf pod版本升级的过程。
72.需要说明的是，对防护实例中防护策略进行升级时所采用的滚动升级的方法与对租户对应的防护实例vwaf pod的防护功能进行升级时的过程相同，具体地，可以参考如图2中的示例的实现过程，在这里不再赘述。
73.需要说明的是，完成防护实例对应的防护策略升级之后，当升级后的防护实例中的防护策略对防护源站的防护效果不好的情况下，可以对升级后的版本进行回退，对防护实例的版本进行回退时，从镜像中心模块中选择需要进行退换的防护实例对应的镜像文件版本，利用选择的镜像文件版本替换升级后的防护实例对应的镜像文件版本。
74.需要说明的是，防护实例版本回退的方式和防护实例版本升级的方式相同，都是按照逐一替换的方式进行处理，具体地，可以参照防护实例版本升级的实现过程，在这里不再赘述。
75.需要说明的是，本技术实施例中通过容器化的方式实现防护系统，能够实现防护系统的灰度发布和故障自愈。
76.可选地，管理节点10还包括监控中心模块，监控中心模块用于监测防护实例在运行过程中的使用内存空间，在使用内存空间大于预设内存空间阈值时，向数据处理节点发送实例增加指令，以及在监测到使用内存空间小于预设内存阈值时，向数据处理节点发送实例减少指令；数据处理节点根据实例增加指令，增加安全防护源站对应的防护实例，以及根据实例减少指令，减少安全防护源站对应的防护实例。
77.在本技术实施例中，当整个集群在运行的过程中，监控中心模块监测到整个集群的处理能力不足的时候，可以通过动态添加新的k8s节点来提高整个集群的处理能力；具体地，可以是当租户对应的防护实例vwaf pod在运行的过程中，cpu的使用超过设定的阈值，数据处理节点会自动创建新的防护实例vwaf pod，以缓解当前集群中防护实例vwaf pod运行的负载压力；当cpu的使用阈值下降后，会动态减少vwaf pod，避免集群中的资源浪费。
78.需要说明的是，内存阈值可以根据实际情况进行选择，本技术中不作具体的限定。
79.需要说明的是，本技术实施例提供的一种网络防护系统，通过对waf防护实例进行容器化，并且通过k8s技术对容器化的防护实例进行多实例部署，实现不同的租户对应一个waf防护实例，并且通过上层的管理节点10实现租户防护源站与waf防护实例的关联，实现数据处理节点11上的对不同租户的防护功能进行隔离，同时通过k8s中的rc可以检测到运行的防护实例是否出现异常，在出现异常时，自动创建新的waf实例，实现故障自愈；进而还可以利用滚动升级策略实现防护实例的灰度发布，提升业务连续性和用户使用体验。
80.可以理解的是，本技术实施例提供的一种网络防护系统，在进行网络防护的过程中，租户能够通过管理节点中的服务开通模块开通对应的服务，不同租户在开通的对应的服务中创建对应的安全防护源站，并在源站中设置不同租户对应的安全防护信息，数据处理节点根据不同源站中设置的安全防护信息，创建不同租户的防护源站对应的防护实例，通过为每个租户部署一个防护实例的方式，在访问流量到达时，根据对应的转发策略将不同租户的访问流量转发至对应的防护实例中进行检测和清洗，在对源站防护的过程中各租户之间互不干扰，且在一个租户的防护实例出现故障的情况下，也不会影响其他租户对应的防护实例对防护源站的防护功能，能够实现不同租户之间的安全防护功能的隔离，提高每个租户的业务安全防护功能。
81.基于上述实施例，通过设计核心数据对象模型实现不同租户的不同waf实例关联和多租户隔离，在本技术中网络防护系统对应的核心数据对象模型及部分字段可以用以下对应关系进行表示：
82.(1)租户对象数据模型如表1所示：
83.表1
84.租户标识受保护源站带宽用户1www.xxx.com5m
85.(2)防护实例vwaf pod对象数据模型如表2所示：
86.表2
87.防护实例标识防护实例名称防护实例版本防护实例标识1防护实例名称1防护实例版本1防护实例标识2防护实例名称2防护实例版本2
88.(3)访问流量转发对象service数据模型如表3所示：
89.表3
90.流量转发对象标识流量转发对象名称流量转发对象版本流量转发对象标识1流量转发对象名称1版本1
91.(4)访问流量入口ingress对象数据模型如表4所示：
92.表4
93.访问流量入口对象标识访问流量入口对象名称访问流量入口对象名称版本访问流量入口对象标识1访问流量入口对象名称1版本1
94.(5)租户对象与访问流量入口标识之间的对应关系如表5所示：
95.表5
96.租户标识访问流量入口标识租户1访问流量入口1
97.其中，用户标识和访问流量入口标识进行关联。
98.(6)访问流量入口与访问流量转发对象之间的对应关系如表6所示：
99.表6
100.访问流量入口标识流量转发对象标识访问流量入口1流量转发对象标识1
101.其中，访问流量入口标识与流量转发对象service的标识进行关联。
102.(7)访问流量转发对象与防护实例之间的对应关系如表7所示：
103.表7
104.流量转发对象标识防护实例标识流量转发对象标识1防护实例标识1流量转发对象标识2防护实例标识2
105.其中，流量转发对象service的标识信息与防护实例标识进行关联。
106.基于上述实施例，在本技术中提供的一种网络防护系统，如图3所示，该网络防护系统包括管理节点、数据处理节点和数据库；管理节点包括服务开通模块、配置管理模块、策略管理模块、监控中心模块、对象创建模块、日志中心和镜像中心；数据处理节点主要负责对防护租户源站中的攻击流量进行检测和清洗，并将清洗后的流量代理回注租户源站中，实现对源站的安全防护；数据处理节点中设置有入口ingress对象、转发对象service、防护实例vwaf pod以及以边车方式运行的日志采集模块。
107.服务开通模块，用于接收服务开通请求，并基于服务开通请求开通对应的服务；记录服务对应的服务信息及用户信息；并向数据处理节点发送所述服务信息；
108.配置管理模块，用于创建用户信息对应的安全防护源站；在安全防护源站上配置安全防护源站对应的防护信息；并向数据处理节点发送防护信息；
109.策略管理模块，用于为防护实例配置安全防护策略，以供防护实例利用安全防护策略对访问流量进行检测和流量清洗。
110.监控中心模块，用于监测防护实例在运行过程中的使用内存空间，在使用内存空间大于预设内存空间阈值时，向数据处理节点发送实例增加指令，以及在监测到使用内存空间小于所述预设内存阈值时，向数据处理节点发送实例减少指令；
111.对象创建模块，用于为数据处理节点创建流量转发对象，并将流量转发对象与防护实例进行关联，以实现通过所述流量转发对象将安全防护站点对应的访问流量转发至对应的防护实例中，实现对访问流量进行检测和流量清洗。
112.日志中心，用于在所述防护实例检测到所述访问流量中存在攻击流量对应的攻击
信息，并将所述攻击信息传输至所述日志中心的情况下，输出攻击信息。
113.镜像中心模块，用于对安全防护策略进行处理，生成安全防护策略对应的镜像文件，以利用镜像文件实现对安全防护策略的模板化配置。
114.镜像中心模块，还用于对每一版本的防护实例进行处理，生成对应的一个版本的防护实例镜像文件，以得到多个版本的防护实例镜像文件，以及利用预设的滚动升级策略，从多个版本的防护实例镜像文件中确定目标版本的防护实例镜像文件，并基于目标版本的防护实例镜像文件进行当前防护实例版本的更改。
115.数据处理节点，用于基于服务信息和防护信息创建用户信息对应的防护实例，以及将安全防护源站对应的访问流量转发至防护实例中，以供防护实例对访问流量进行检测和流量清洗。
116.数据处理节点，还用于根据实例增加指令，增加安全防护源站对应的防护实例，以及根据实例减少指令，减少安全防护源站对应的防护实例。
117.数据处理节点，还用于对防护信息和服务信息进行处理，得到防护实例对应的防护实例标签，通过防护实例标签确定出访问流量对应的防护实例，并将安全防护源站对应的访问流量转发至对应的防护实例。
118.防护实例vwaf pod，用于在检测到访问流量中存在攻击流量的情况下，采集攻击流量对应的攻击信息，并将攻击信息传输至所述日志中心。
119.入口ingress对象，应用于访问流量进入防护实例的入口，通过入口ingress对象确定出要进行转发的service对象。
120.转发对象service，应用于在进行访问流量转发时，通过转发对象service将访问流量转发至对应的防护实例中。
121.以边车方式运行的日志采集模块，用于采集攻击流量对应的攻击信息，并将攻击信息传输至所述日志中心。
122.本技术实施例提供一种网络防护方法，应用于网络防护系统中，如图4所示，该方法包括：
123.s101、服务开通模块在接收到服务开通请求的情况下，基于服务开通请求开通对应的服务；并记录服务对应的服务信息及用户信息；并向数据处理节点发送服务信息。
124.在本技术实施例中，云waf安全防护系统包括管理节点和数据处理节点，管理节点和数据处理节点都可以部署在k8s集群中，管理节点可以实现对整个集群的管理工作，数据处理节点是真正处理业务的节点。
125.在本技术实施例中，在k8s集群中，云waf安全防护系统的管理节点中包含服务开通模块，租户可以根据自身的需求，在服务开通模块中发起服务开通的请求消息，服务开通模块对租户开通waf服务的请求消息进行处理，为租户开通对应的waf服务。
126.在本技术实施例中，在租户waf服务开通的过程中，记录waf服务对应的租户信息以及开通的服务信息，其中，租户信息可以是具体的运营公司或是具体的个人信息等；服务信息可以是防护带宽、业务带宽及请求每秒处理事务数qps等。
127.在本技术实施例中，在服务开通模块记录开通的waf服务对应的租户信息以及开通的服务信息之后，还可以将记录的服务信息发送至数据处理节点，数据处理节点可以利用接收到的服务信息进行对应业务的处理。
128.s102、配置管理模块创建用户信息对应的安全防护源站；并在安全防护源站上配置安全防护源站对应的防护信息；并向数据处理节点发送防护信息；
129.在申请实施例中，在开通租户对应的waf服务之后，租户可以通过管理节点中的配置管理模块创建租户信息对应的安全防护源站。
130.示例性地，可以是a租户开通的waf服务，为a租户创建一个安全防护源站1，b租户也开通了waf服务，为b租户创建一个安全防护源站2。
131.在本技术实施例中，通过配置管理模块创建租户信息对应的安全防护源站之后，在创建的安全防护源站上配置租户对应的防护信息，其中，防护信息可以是防护的源站ip、源站端口号、以及安全协议通道ssl证书信息等。
132.在本技术实施例中，在配置管理模块中还可以通过在指令消息中携带防护信息，通过发送的指令消息将防护信息发送给数据处理节点。
133.s103、数据处理节点基于服务信息和防护信息，创建用户信息对应的防护实例，以及将安全防护源站对应的访问流量转发至防护实例中，以供防护实例对访问流量进行检测和流量清洗。
134.在本技术实施例中，在对防护的源站ip、源站端口号、以及安全协议通道ssl证书信息进行配置时，向数据处理节点发送创建租户开通的waf服务对应的防护实例vwaf pod的指令消息。
135.需要说明的是，发送的指令消息中携带防护信息对应的防护的源站ip、源站端口号、以及安全协议通道ssl证书信息等。
136.在本技术实施例中，在创建租户开通的waf服务对应的防护实例vwaf pod时，根据指令中携带的服务信息中的防护带宽、qps信息创建租户开通的waf服务对应的防护实例vwaf pod。
137.需要说明的是，一个租户可以对应于多个防护实例vwaf pod。
138.需要说明的是，创建防护实例vwaf pod的具体实现过程不限于本技术中实现的方法，具体地，可以根据实际情况进行选择，本技术中的不做具体的限定。
139.在本技术实施例中，在为租户创建对应的防护实例vwaf pod成功之后，在防护实例vwaf pod中设置该防护实例vwaf pod对应的防护信息以及服务信息等，可以是在防护实例vwaf pod中设置源站ip、源站端口号以及qps信息等。
140.在本技术实施例中，在防护实例vwaf pod中设置好对应的防护信息以及服务信息之后，数据处理节点可以对防护信息和服务信息进行处理，得到防护实例对应的防护实例标签；通过防护实例标签确定出访问流量对应的防护实例，并将安全防护源站对应的访问流量转发至对应的防护实例。
141.在本技术实施例中，可以利用特定的规则，根据防护实例中设置的防护信息和服务信息，生成该防护实例对应的vwaf pod标签。具体地，生成vwaf pod标签的方式可以根据实际情况进行选择，本技术中不做具体的限定。
142.在本技术实施例中，vwaf pod标签与防护实例vwaf pod是一一对应的关系，根据vwaf pod标签可以确定唯一的一个对应的防护实例vwaf pod，当有访问流量对租户要防护的源站进行访问时，根据vwaf pod标签可以确定出租户要保护的源站对应的防护实例vwaf pod。
143.需要说明的是，本技术中通过为不同的租户创建不同的防护实例vwaf pod，实现了在数据处理节点中，不同租户之间的防护能力实现相互隔离。
144.在本技术实施例中，管理节点中还包含对象创建模块，利用对象创建模块可以为数据处理节点创建流量转发对象；并将流量转发对象与防护实例进行关联，以实现将安全防护源站对应的访问流量转发至对应的防护实例中，对访问流量进行检测和流量清洗的过程。
145.在本技术实施例中，数据处理节点在完成防护实例vwaf pod的创建之后，用户可以通过管理节点中的对象创建模块创建数据处理节点中用于进行流量转发的对象service。
146.在本技术实施例中，在创建流量转发对象service时，可以将创建的流量转发对象service与生成的vwaf pod标签通过数据表中设置的字段进行关联，通过对象service对象可以将访问流量转发至不同的vwaf pod标签，在通过vwaf pod标签确定出对应的防护实例vwaf pod上，进行该租户的防护实例对应的访问流量的检测和清洗。
147.在本技术实施例中，在通过对象service进行访问流量转发的过程中，还需要创建对象service进行流量转发的入口ingress对象。
148.在本技术实施例中，ingress对象可以根据防护源站中配置的服务信息或防护信息进行创建。
149.需要说明的是，ingress对象的创建可以是利用除本技术以外的其他方式进行创建，具体地，可以根据实际情况进行选择，本技术中不做具体的限定。
150.在本技术实施例中，在创建ingress对象完成之后，在ingress对象中设置不同的防护源站域名绑定对应的转发对象service，通过ingress对象与转发对象service之间的关系，可以将不同的防护源站对应的访问流量通过入口ingress对象转发至不同的转发对象service上，再通过转发对象servicev与vwaf pod标签之间的关系，确定出对访问流量进行防护的防护实例vwaf pod，实现vwaf pod对多个用户站点的防护。
151.在本技术实施例中，数据处理节点可以通过入口ingress对象，将安全防护源站对应的访问流量通过与之关联的转发对象service，确定出要进行转发的vwaf pod标签，进一步通过vwaf pod标签确定安全防护源站对应的防护实例，通过确定出的安全防护实例对访问流量进行检测和流量清洗。
152.需要说明的是，在安全防护实例中对访问流量进行检测和流量清洗之后，将清洗后的流量代理回注租户源站中，实现对租户源站的安全防护。
153.可选地，在本技术实施例中，在防护实例检测到访问流量中存在攻击流量对应的攻击信息，并将攻击信息传输至管理节点中的日志中心的情况下，通过日志中心输出攻击信息。
154.在本技术实施例中，在对租户源站进行访问的流量转发至租户对应的防护实例vwaf pod中时，数据处理节点中的防护实例vwaf pod对访问流量进行检测，在数据处理节点中的防护实例vwaf pod检测到访问流量中存在攻击流量时，防护实例vwaf pod中的以边车方式sidecar运行的agent日志上报模块会采集攻击流量的详情信息，并将攻击流量的详细信息传输到管理节点中的日志中心，租户可以通过管理节点中的日志中心查看攻击信息的详细信息。
155.需要说明的是，传统的进行日志采集的方式中，需要将日志采集模块agent提前部署到防护实例中，并且在配置好防护实例后再进行采集规则配置。而本技术中利用的边车方式sidecar运行的agent日志上报模块，通过将日志采集模块agent与防护实例vwaf pod打包在一起，随着用户业务创建而自动创建和配置，提升了效率，并且在发生故障时候，不影响其他用户日志的正常采集与呈现，能够实现不同租户防护源站之间的故障隔离。
156.可选地，在本技术实施例中，管理节点中的策略管理模块可以为防护实例配置安全防护策略，以供防护实例利用安全防护策略对访问流量进行检测和流量清洗。
157.在本技术实施例中，在创建完成防护实例，并利用防护实例对租户的源站进行防护的过程中，租户还可以设置自定义的安全防护策略。具体地，租户还可以根据防护源站在业务中的需求，在管理节点中的策略管理模块中自定义安全防护策略配置信息，其中，自定义安全防护策略配置可以是ip黑白名单、url黑白名单、流量标记等自定义策略。
158.在本技术实施例中，租户通过管理节点，根据防护源站当前的防护需求，可以在防护源站对应的防护实例中设置自定义的安全防护策略，防护实例可以根据设置的安全防护策略对防护源站进行更安全的防护，防护源站的安全性更高。
159.可选地，管理节点中的镜像中心模块还可以对安全防护策略进行处理，生成安全防护策略对应的镜像文件，以利用镜像文件实现对安全防护策略的模板化配置。
160.在本技术实施例中，当租户根据防护源站当前的需求，对创建的防护实例vwaf pod进行修改，得到租户自定义的防护实例vwaf pod。
161.在本技术实施例中，租户可以在防护实例中自定义安全防护策略，镜像中心模块可以将设置有租户自定义的安全防护策略的防护实例vwaf pod生成安全防护配置模板，并且将安全防护配置模板以镜像的方式存储至镜像中心模块对应的数据库中。
162.需要说明的是，自定义的不同安全防护策略对应的防护实例vwaf pod可以生成不同的安全防护配置模板，不同的安全防护配置模板对应于不同版本的防护实例vwaf pod。
163.在本技术实施例中，在进行安全防护实例配置时，可以通过直接获取对应版本的安全防护实例实现不同安全防护实例的模板化配置。
164.在本技术实施例中，当租户需要增加一个安全防护实例，可以通过镜像中心模块获取到对应的安全防护实例的镜像文件，直接利用获取的防护实例的镜像文件对新增的防护实例实现自定义的安全防护策略设置，不需要再为新增的防护实例进行自定义的配置。
165.可选地，在本技术实施例中，还可以利用镜像中心模块对每一版本的防护实例进行处理，得到多个版本的防护实例镜像文件，以及利用预设的滚动升级策略，从多个版本的防护实例镜像文件中确定目标版本的防护实例镜像文件，并基于目标版本的防护实例镜像文件进行当前防护实例版本的更改。
166.在本技术实施例中，在对租户对应的防护实例vwaf pod的防护功能进行升级时，对完成的每一个版本对应的防护实例的开发软件进行发布，可以通过对不同版本的防护实例vwaf pod进行处理，生成不同版本的防护实例对应的镜像文件，并将生成的镜像文件传输至镜像中心模块中，租户通过从管理节点中的镜像中心模块选择防护实例对应的新的镜像文件，将新的镜像文件关联至防护源站，k8s利用滚动升级策略，逐步利用新版本的防护实例vwaf pod替代旧版本的防护实例vwaf pod，完成防护实例vwaf pod版本升级的过程。
167.示例性地，如图2所示，通过k8s中的控制器rc，可以在一个控制器rc下关联多个防
护实例vwaf pod，在将防护实例vwaf pod从版本v1升级到版本v2时，利用滚动升级策略，可以是先选择第一个版本v1的防护实例vwaf pod，然后从镜像中心中选取一个版本v2的防护实例vwaf pod，利用版本v2的防护实例vwaf pod替换第一个版本v1的防护实例vwaf pod，完成租户对应的防护实例中一个防护实例vwaf pod的升级，依次类推，选择出第二个版本v1的防护实例vwaf pod，然后从镜像中心中选取一个版本v2的防护实例vwaf pod，利用版本v2的防护实例vwaf pod替换第二个版本v1的防护实例vwaf pod，完成租户对应的防护实例中的第二个防护实例vwaf pod的升级，直至租户对应的所有版本为v1的防护实例vwaf pod全部替换为版本为v2的防护实例vwaf pod。
168.需要说明的是，当rc关联的防护实例vwaf pod中出现一个或多个防护实例出现故障时，数据处理节点就会创建新的防护实例vwaf pod，以保证运行的防护实例vwaf pod的数量达到预期的数量。
169.在本技术的另一实施例中，当需要对防护实例中对应的防护策略进行升级时，其中，防护实例对应的防护策略可以是0day漏洞防护的策略，可以是通过将更新的防护策略对应的防护实例制作为镜像文件，将镜像文件上传至镜像中心，租户通过从管理节点中的镜像中心模块选择防护实例对应的新的镜像文件，将新的镜像文件关联至防护源站，k8s利用滚动升级策略，逐步利用新版本的防护实例vwaf pod替代旧版本的防护实例vwaf pod，完成防护实例vwaf pod版本升级的过程。
170.需要说明的是，对防护实例中防护策略进行升级时所采用的滚动升级的方法与对租户对应的防护实例vwaf pod的防护功能进行升级时的过程相同，具体地，可以参考如图2中的示例的实现过程，在这里不再赘述。
171.需要说明的是，完成防护实例对应的防护策略升级之后，当升级后的防护实例中的防护策略对防护源站的防护效果不好的情况下，可以对升级后的版本进行回退，对防护实例的版本进行回退时，从镜像中心模块中选择需要进行退换的防护实例对应的镜像文件版本，利用选择的镜像文件版本替换升级后的防护实例对应的镜像文件版本。
172.需要说明的是，防护实例版本回退的方式和防护实例版本升级的方式相同，都是按照逐一替换的方式进行处理，具体地，可以参照防护实例版本升级的实现过程，在这里不再赘述。
173.需要说明的是，本技术实施例中通过容器化的方式实现防护系统，能够实现防护系统的灰度发布和故障自愈。
174.可选地，管理节点还包括监控中心模块，监控中心模块用于监测防护实例在运行过程中的使用内存空间，在使用内存空间大于预设内存空间阈值时，向数据处理节点发送实例增加指令，以及在监测到使用内存空间小于预设内存阈值时，向数据处理节点发送实例减少指令；数据处理节点根据实例增加指令，增加安全防护源站对应的防护实例，以及根据实例减少指令，减少安全防护源站对应的防护实例。
175.在本技术实施例中，当整个集群在运行的过程中，监控中心模块监测到整个集群的处理能力不足的时候，可以通过动态添加新的k8s节点来提高整个集群的处理能力；具体地，可以是当租户对应的防护实例vwaf pod在运行的过程中，cpu的使用超过设定的阈值，数据处理节点会自动创建新的防护实例vwaf pod，以缓解当前集群中防护实例vwaf pod运行的负载压力；当cpu的使用阈值下降后，会动态减少vwaf pod，避免集群中的资源浪费，实
现动态扩容的效果。
176.需要说明的是，内存阈值可以根据实际情况进行选择，本技术中不作具体的限定。
177.需要说明的是，网络防护方法中的所采用的数据模型可以参照网络防护系统中所涉及到的数据对象模型及部分字段进行设置，在这里不再赘述。
178.可以理解的是，本技术实施例提供的一种网络防护方法，在进行网络防护的过程中，租户能够通过管理节点中的服务开通模块开通对应的服务，不同租户在开通的对应的服务中创建对应的安全防护源站，并在源站中设置不同租户对应的安全防护信息，数据处理节点根据不同源站中设置的安全防护信息，创建不同租户的防护源站对应的防护实例，通过为每个租户部署一个防护实例的方式，在访问流量到达时，根据对应的转发策略将不同租户的访问流量转发至对应的防护实例中进行检测和清洗，在对源站防护的过程中各租户之间互不干扰，且在一个租户的防护实例出现故障的情况下，也不会影响其他租户对应的防护实例对防护源站的防护功能，能够实现不同租户之间的安全防护功能的隔离，提高每个租户的业务安全防护功能。
179.本技术实施例提供一种存储介质，其上存储有计算机程序，上述计算机可读存储介质存储有一个或者多个程序，上述一个或者多个程序可被一个或者多个处理器执行，应用于网络防护系统1中，该计算机程序实现如上述的网络防护的方法。处理器可以为特定用途集成电路(asic，application specific integrated circuit)、数字信号处理器(dsp，digital signal processor)、数字信号处理图像处理装置(dspd，digital signal processing device)、可编程逻辑图像处理装置(pld，programmable logic device)、现场可编程门阵列(fpga，field programmable gate array)、cpu、控制器、微控制器、微处理器中的至少一种。可以理解地，对于不同的设备，用于实现上述处理器功能的电子器件还可以为其它，本实施例不作具体限定。
180.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
181.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本公开的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台图像显示设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本公开各个实施例所述的方法。
182.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。

技术特征：
1.一种网络防护系统，其特征在于，所述系统包括：管理节点和数据处理节点；所述管理节点中包含服务开通模块和配置管理模块；所述服务开通模块，用于接收服务开通请求，并基于所述服务开通请求开通对应的服务；记录所述服务对应的服务信息及用户信息；并向所述数据处理节点发送所述服务信息；所述配置管理模块，用于创建所述用户信息对应的安全防护源站；在所述安全防护源站上配置所述安全防护源站对应的防护信息；并向所述数据处理节点发送所述防护信息；所述数据处理节点，用于基于所述服务信息和所述防护信息创建所述用户信息对应的防护实例，以及将所述安全防护源站对应的访问流量转发至所述防护实例中，以供所述防护实例对所述访问流量进行检测和流量清洗。2.根据权利要求1所述的系统，其特征在于，所述管理节点还包括：监控中心模块；所述监控中心模块，用于监测所述防护实例在运行过程中的使用内存空间，在所述使用内存空间大于预设内存空间阈值时，向所述数据处理节点发送实例增加指令，以及在监测到所述使用内存空间小于所述预设内存阈值时，向所述数据处理节点发送实例减少指令；所述数据处理节点，用于根据所述实例增加指令，增加所述安全防护源站对应的防护实例，以及根据所述实例减少指令，减少所述安全防护源站对应的防护实例。3.根据权利要求1所述的系统，其特征在于，所述管理节点还包括：策略管理模块；所述策略管理模块，用于为所述防护实例配置安全防护策略，以供所述防护实例利用所述安全防护策略对所述访问流量进行检测和流量清洗。4.根据权利要求3所述的系统，其特征在于，所述管理节点还包括：镜像中心模块；所述镜像中心模块，用于对所述安全防护策略进行处理，生成所述安全防护策略对应的镜像文件，以利用所述镜像文件实现对所述安全防护策略的模板化配置。5.根据权利要求4所述的系统，其特征在于，所述镜像中心模块，还用于对每一版本的防护实例进行处理，得到多个版本的防护实例镜像文件，以及利用预设的滚动升级策略，从所述多个版本的防护实例镜像文件中确定目标版本的防护实例镜像文件，并基于目标版本的防护实例镜像文件进行当前防护实例版本的更改。6.根据权利要求1所述的系统，其特征在于，所述管理节点中还包含：对象创建模块；所述对象创建模块，用于为所述数据处理节点创建流量转发对象，并将所述流量转发对象与所述防护实例进行关联，以实现通过所述流量转发对象将安全防护源站对应的访问流量转发至对应的防护实例中，实现对所述访问流量的检测和流量清洗。7.根据权利要求1所述的系统，其特征在于，所述数据处理节点，还用于对所述防护信息和所述服务信息进行处理，得到所述防护实例对应的防护实例标签，通过所述防护实例标签确定出所述访问流量对应的防护实例，并将安全防护源站对应的访问流量转发至对应的防护实例。8.根据权利要求1所述的系统，其特征在于，所述管理节点还包括：日志中心；所述日志中心，用于在所述防护实例检测到所述访问流量中存在攻击流量对应的攻击信息，并将所述攻击信息传输至所述日志中心的情况下，输出所述攻击信息。9.一种网络防护方法，其特征在于，应用于权利要求1-8任一项所述的网络防护系统
中，所述方法包括：服务开通模块在接收到服务开通请求的情况下，基于所述服务开通请求开通对应的服务；并记录所述服务对应的服务信息及用户信息；并向数据处理节点发送所述服务信息；配置管理模块创建所述用户信息对应的安全防护源站；并在所述安全防护源站上配置所述安全防护源站对应的防护信息；并向所述数据处理节点发送所述防护信息；数据处理节点基于所述服务信息和所述防护信息，创建所述用户信息对应的防护实例，以及将所述安全防护源站对应的访问流量转发至所述防护实例中，以供所述防护实例对所述访问流量进行检测和流量清洗。10.一种存储介质，其上存储有计算机程序，其特征在于，该计算机程序被执行时实现如权利要求9中所述的方法。

技术总结
本申请实施例公开了一种网络防护系统、部署方法及存储介质，该系统包括：管理节点和数据处理节点；管理节点中包含服务开通模块和配置管理模块；服务开通模块，用于接收服务开通请求，并基于服务开通请求开通对应的服务；记录服务对应的服务信息及用户信息；并向所述数据处理节点发送所述服务信息；配置管理模块，用于创建用户信息对应的安全防护源站；在安全防护源站上配置安全防护源站对应的防护信息；并向数据处理节点发送防护信息；数据处理节点，用于基于服务信息和防护信息创建用户信息对应的防护实例，以及将安全防护源站对应的访问流量转发至防护实例中，以供防护实例对访问流量进行检测和流量清洗。流量进行检测和流量清洗。流量进行检测和流量清洗。


技术研发人员：严仍义
受保护的技术使用者：中国移动通信集团有限公司
技术研发日：2022.10.11
技术公布日：2023/9/23