(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111617972.1 (22)申请日 2021.12.27 (71)申请人 天翼云科技有限公司 地址 100007 北京市东城区青龙胡同甲1 号、 3号2幢2层20 5-32室 (72)发明人 阮兆银　李永隆　吴建国　 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络安全服务配置方法、 装置及电子设 备 (57)摘要 本发明公开了一种网络安全服务配置方法， 包括： 当获取到任一用户 创建的应用服务， 按照 预设黑白名单配置规则生成所述应用服务对应 防火墙CRD规则资源； 当监听到所述防火墙CRD规 则资源， 判断所述防火墙CRD规则资源对应的应 用服务是否有部署到本机容器； 当所述防火墙 CRD规则资源对应的应用服务部署到本机容器， 将所述防火墙CRD规则资源 通过ct＿filter 工具 写入到内核模块中。 本发明的方法通过k8s   operator可编程方式去定义每个主机上的防火 墙黑白名单配置规则， 同时将配置规则部署到指 定的K8S的node节点上， k8s  operator以终态方 式控制防火墙配置以更新与刷新， 防火墙配置会 跟随应用服务容器的部署的工作节 点进行配置， 同时具备较高的灵活性和扩 展性。 权利要求书2页 说明书7页 附图4页 CN 114499970 A 2022.05.13 CN 114499970 A 1.一种网络安全服 务配置方法， 其特 征在于， 包括： 当获取到任一用户创建的应用服务， 按照预设黑白名单配置规则生成所述应用服务对 应防火墙CRD规则资源； 当监听到所述防火墙CRD规则资源， 判断所述防火墙CRD规则资源对应的应用服务是否 有部署到 本机容器； 当所述防火墙CRD规则资源对应的应用服务部署到本机容器， 将所述防火墙CRD规则资 源通过ct_fi lter工具写入到内核模块中。 2.根据权利要求1所述的方法， 其特征在于， 所述当所述防火墙CRD规则资源对应的应 用服务部署 到本机容器， 将所述防火墙CRD规则资源通过ct_filter工具写入到内核模块中 之后， 所述方法还 包括： 当接收到客户端的服务请求报文时， 将所述服务请求报文与 所述内核模块被写入的防 火墙CRD规则进行匹配； 根据匹配结果确定所述 客户端的服 务请求报文是否放行或丢弃。 3.根据权利要求2所述的方法， 其特征在于， 所述将所述服务请求报文与所述内核模块 被写入的防火墙CRD规则进行匹配， 包括： 对所述客户端的服 务请求报文 进行解析 得到所述 客户端的IP地址； 将所述IP地址与预设的黑名单规则进行匹配； 当所述IP地址与预设的黑名单规则匹配成功， 则拦截所述IP地址对应的服务请求报 文； 当所述IP地址与预设的黑名单规则未匹配成功， 则判断所述IP地址是否处于 ESTABLISHED状态； 当所述IP地址数据处于ESTABLISHED状态， 则将所述IP地址对应的服务请求报文发送 到Netfilter的下一个ho ok点； 当所述IP地址不处于ESTABLISHED状态， 则将所述IP地址数据与预设 白名单规则进行 匹配； 当所述IP地址与预设的白名单规则未匹配成功， 则 丢弃所述IP地址对应的服务请求报 文； 当所述IP地址与预设的名单规则匹配成功， 则将所述IP地址对应的服务请求报文发送 到Netfilter的下一个ho ok点。 4.根据权利要求3所述的方法， 其特征在于， 判断所述IP地址是否处于ESTABLISHED状 态， 包括： 根据conntrack表确定所述 IP地址是否处于连接状态； 当所述IP地址处于连接状态， 则所述 IP地址处于 ESTABLISHED状态。 5.根据权利要求4所述的方法， 所述根据conntrack表确定所述IP地址是否处于连接状 态， 包括： 当conntrack未开启， 则将所述IP地址对应的服务请求报文 发送到Netfilter的下一个 hook点。 6.一种网络安全服 务配置装置， 其特 征在于， 包括： 生成模块， 用于当获取到任一用户创建的应用服务， 按照预设黑 白名单配置规则生成权　利　要　求　书 1/2 页 2 CN 114499970 A 2所述应用服 务对应防火墙CRD规则资源； 第一判断模块， 用于当监听到所述防火墙CRD规则资源， 判断所述防火墙CRD规则资源 对应的应用服 务是否有部署到 本机容器； 写入模块， 用于当所述防火墙CRD规则资源对应的应用服务部署到本机容器， 将所述防 火墙CRD规则资源通过ct_fi lter工具写入到内核模块中。 7.根据权利要求6所述的装置， 其特 征在于， 所述装置还 包括： 匹配模块， 用于当接收到客户端的服务请求报文时， 将所述服务请求报文与所述内核 模块被写入的防火墙CRD规则进行匹配； 处理模块， 用于根据匹配结果确定所述 客户端的服 务请求报文是否放行或丢弃。 8.根据权利要求7 所述的装置， 其特 征在于， 所述匹配模块还 包括： 解析模块， 用于对所述 客户端的服 务请求报文 进行解析 得到所述 客户端的IP地址； 第一匹配子模块， 用于将所述 IP地址与预设的黑名单规则进行匹配； 拦截模块， 用于当所述IP地址与预设的黑名单规则匹配成功， 则拦截所述IP地址对应 的服务请求报文； 第二判断模块， 用于当所述IP地址与预设的黑名单规则未匹配成功， 则判断所述IP地 址是否处于 ESTABLISHED状态； 第一发送模块， 用于当所述IP地址数据处于ESTABLISHED状态， 则将所述IP地址对应的 服务请求报文发送到Netfi lter的下一个ho ok点； 当所述IP地址不处于ESTABLISHED状态， 则将所述IP地址数据与预设 白名单规则进行 匹配； 第二匹配子模块， 用于当所述IP地址与预设的白名单规则未匹配成功， 则丢弃所述IP 地址对应的服 务请求报文； 第二发送模块， 用于当所述IP地址与预设的名单规则匹配成功， 则将所述IP地址对应 的服务请求报文发送到Netfi lter的下一个ho ok点。 9.一种电子设备， 其特征在于， 包括： 至少一个处理器； 以及与所述至少一个处理器通 信连接的存储器； 其中， 所述存储器存储有 可被所述至少一个处理器执行的指 令， 所述指 令 被所述至少一个处理器执行， 以使所述至少一个处理器执行如权利要求1 ‑5任一所述的网 络安全服 务配置方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现如权利要求1 ‑5中任一项所述的网络安全服 务配置方法的步骤。权　利　要　求　书 2/2 页 3 CN 114499970 A 3