WO2013094847A1 - Apparatus and method for a web firewall service in a cloud system - Google Patents

Apparatus and method for a web firewall service in a cloud system Download PDF

Info

Publication number
WO2013094847A1
WO2013094847A1 PCT/KR2012/007147 KR2012007147W WO2013094847A1 WO 2013094847 A1 WO2013094847 A1 WO 2013094847A1 KR 2012007147 W KR2012007147 W KR 2012007147W WO 2013094847 A1 WO2013094847 A1 WO 2013094847A1
Authority
WO
WIPO (PCT)
Prior art keywords
web
virtual
proxy server
private
server
Prior art date
Application number
PCT/KR2012/007147
Other languages
French (fr)
Korean (ko)
Inventor
김진봉
Original Assignee
(주)케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)케이티 filed Critical (주)케이티
Publication of WO2013094847A1 publication Critical patent/WO2013094847A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques

Definitions

  • the present invention relates to an apparatus and a method for a web firewall service in a cloud system, and more particularly, to an apparatus and a method for configuring a web firewall as a virtual machine (VM) in a cloud system to serve.
  • VM virtual machine
  • Modern society is an information society.
  • the leading figure in this information society is the Internet.
  • the Web is constantly evolving and creating new changes, providing us with a variety of conveniences and usefulness.
  • the Web Application Firewall is used to protect the website and provide safe services to customers.
  • Web applications are always in our lives, and the homepages and most services we use through the Internet are Web applications.
  • Most of the web attack is to attack the web server (120) or exploit the contents of the DB (130) by using vulnerabilities generated when building a web application.
  • An attacker inserts a code that bypasses a specific attack code or a vulnerability that only a specific web application has in the HTTP request and sends it to the web server.
  • the web application will behave unintentionally, and the result is to send various information to the attacker via HTTP reply.
  • Web firewalls filter web protocols from the outside to establish web application vulnerability and response processes against web hacking attacks. Unlike existing security solutions, web firewalls perform analysis and blocking at the application level instead of the network layer.
  • FIG. 2 is a diagram illustrating a relay concept of a conventional proxy server.
  • the principle of a web firewall is to inspect and block the contents of packets by applying the proxy principle to all packets entering and leaving a web server.
  • Proxy is a service technology used to access a proxy server from a web browser.
  • the URL requested from the web client is not connected to the server, but is connected to the proxy server 220. do.
  • the proxy server 220 receiving the proxy request sends a request by connecting to the corresponding server of the URL, receives a response instead of the client, and delivers the request to the client 210.
  • An embodiment of the present invention is directed to an apparatus and method for providing a web firewall service in a virtual form in a cloud system by creating and providing a virtual machine (VM) to a subscriber who has applied for a web firewall service.
  • VM virtual machine
  • Web firewall service device in a cloud system for achieving the above technical problem, by receiving a packet to a predetermined public IP (Public IP) for each of the first Private (IP) IP and subscriber A virtual router for transmitting the packet to the assigned first port; Blocking or checking the packet forwarded to the assigned first private IP and the first port, and a second port corresponding to a second private IP and the first port A virtual web proxy server for transmitting the packet to the server; And a web server configured to receive the second private IP and the packet forwarded to the second port and provide a web service.
  • Public IP public IP
  • IP Private IP
  • the virtual router and the virtual web proxy server are characterized in that a virtual machine (VM) in a cloud system.
  • VM virtual machine
  • the information of the first private IP and the first port of the virtual web proxy server is allocated by the virtual router.
  • the virtual web proxy server and the web server are configured in plural, each virtual web proxy server having a different first private IP, and each web server having a different second private ( Private) characterized in that the IP (IP) is assigned.
  • IP IP
  • API application programming interface
  • the first private IP and the second private IP are floating IPs.
  • the apparatus further comprises a load balancer configured to distribute the load of the packet in proportion to the number of the virtual web proxy server and the web server.
  • Web firewall service method in a cloud system for achieving the above technical problem, in a web firewall service method comprising a plurality of web servers, creating a first virtual machine (VM) Generating a virtual router by allocating a public IP to the first virtual machine; A virtual web proxy server is created by creating a second virtual machine (VM) and assigning different first ports for each first private IP and subscriber to the second virtual machine.
  • VM virtual machine
  • a virtual web proxy server is created by creating a second virtual machine (VM) and assigning different first ports for each first private IP and subscriber to the second virtual machine.
  • Creating a virtual web proxy server Transmitting a packet received by the virtual router to the first private IP and the first port, and forwarding the packet to the virtual web proxy server; A packet inspecting step of blocking or inspecting the packet at the virtual web proxy server; And a web server mapping step of forwarding the packet based on a second private IP and a second port assigned to each web server. Characterized in that it comprises a.
  • the information of the first private IP and the first port of the virtual web proxy server is allocated by the virtual router.
  • the virtual web proxy server includes a plurality of virtual web proxy servers, each virtual web proxy server having a different first private IP, and each web server having a different second private IP (IP) is assigned.
  • IP second private IP
  • the virtual web proxy server and a cloud stack (API) linked to the API is an AP including service information requested by the subscriber (API) is received from the cloud stack (Cloud stack) characterized in that the configuration of the configuration and the allocation bandwidth of the virtual web proxy server automatically.
  • API application programming interface
  • the virtual web proxy server is an AP including service information requested by the subscriber (API) is received from the cloud stack (Cloud stack) characterized in that the configuration of the configuration and the allocation bandwidth of the virtual web proxy server automatically.
  • the first private IP and the second private IP are floating IPs.
  • the virtual web proxy server, the web server and the load balancer are configured in a redundant structure.
  • a service such as a single (dual, dual) and bandwidth (Basic, Standard, Advanced, Preminum) of a web firewall that a subscriber has applied for through a cloud portal is used as an API type. It is possible to set automatically by calling.
  • a web firewall, a web server, and a load balancer are configured in a redundant manner to provide a stable service.
  • FIG. 2 is a diagram illustrating a relay concept of a conventional proxy server.
  • FIG. 3 is a diagram showing the configuration of a web firewall service apparatus in the cloud system of the present invention.
  • FIG. 4 is a diagram illustrating a cloud network configuration including a web firewall service apparatus of the present invention.
  • FIG. 5 is a flowchart illustrating a web firewall service method in a cloud system of the present invention.
  • Web firewall service apparatus in a cloud system according to an embodiment of the present invention, by receiving a packet to a predetermined public IP (Public IP) to the first private (IP) and the first port assigned to each subscriber to the first port (IP) A virtual router for transmitting a packet; Blocking or checking the packet forwarded to the assigned first private IP and the first port, and a second port corresponding to a second private IP and the first port A virtual web proxy server for transmitting the packet to the server; And a web server configured to receive the second private IP and the packet forwarded to the second port and provide a web service.
  • Public IP public IP
  • FIG. 3 is a diagram showing the configuration of a web firewall service apparatus in the cloud system of the present invention.
  • the web firewall service apparatus of the present invention relates to an apparatus and method for providing a web firewall service in a virtual form in a cloud system by creating and providing a virtual machine (VM) to a subscriber who has applied for a web firewall service.
  • VM virtual machine
  • a service such as a single (dual, dual) and bandwidth (Basic, Standard, Advanced, Preminum) of a web firewall that a subscriber has applied for through a cloud portal is used as an API type. It can be set automatically by calling.
  • Web firewall service apparatus and method of the present invention is that the web firewall provided in the existing HW appliance products are virtualized and provided to the subscriber in the form of a virtual machine (VM).
  • VM virtual machine
  • Apparatus and method 300 for providing a web firewall service of the present invention includes a virtual router 310, a virtual web proxy server 320, and a web server 330.
  • the virtual router and the virtual web proxy server are composed of virtual machines (VMs) in a cloud system.
  • VMs virtual machines
  • the virtual web proxy server 320 inspects and blocks the contents of the packet by applying a proxy principle to all packets entering and leaving the web server 330 as a web application firewall.
  • the URL requested by the web client is not directly connected to the web server 330, but is connected to the virtual web proxy server 320.
  • the virtual web proxy server 320 receiving the proxy request sends a request by connecting to the corresponding web server of the URL, and receives and returns a response on behalf of the client.
  • the virtual router 310 receives a predetermined public IP and receives a packet through the public IP, and the virtual router 310 acts as a Dynamic Host Configuration Protocol (DHCP) server to provide a virtual web proxy server 320. It assigns floating private IP to.
  • DHCP Dynamic Host Configuration Protocol
  • the virtual router 310 performs a port forwarding of the received packet to the assigned port by assigning a separate port for each subscriber.
  • the virtual web proxy server 320 blocks or inspects a packet forwarded to a private IP and a port allocated by the virtual router 310.
  • the virtual web proxy server 320 serves to deliver the packet received to the private IP (IP) and port assigned to the web server 320.
  • IP private IP
  • the virtual web proxy server 320 maps its private IP and port information to the private IP and port of the web server 330 and transmits it. will be.
  • the firewall function since the firewall function is executed at the same time, it blocks the packet to be transmitted to the other port or blocks the packet detected by the virus.
  • the web server 330 receives a port forwarded packet to its own private IP and port to provide a web service.
  • the response is not immediately performed by the client, but the client forwards the response through the virtual web proxy server 320.
  • the floating private IP and port of the virtual web proxy server 320 are allocated by the virtual router.
  • the virtual web proxy server 320 which is a virtual machine (VM), is interworked with a cloud stack and an application programming interface (API).
  • VM virtual machine
  • API application programming interface
  • the virtual web proxy server 320 automatically receives an API (API) including service information requested by the subscriber from the cloud stack and automatically configures the configuration and allocation bandwidth of the virtual web proxy server.
  • API API
  • the virtual web proxy server 320 which is a web application firewall, may be configured in a single or dual form, and bandwidth may also provide services in various forms such as basic, standard, advanced, and preminum.
  • the virtual web proxy server 320 and the web server 330 may include a plurality of load balancers for distributing the load of packets in proportion to the number of the configured virtual web proxy server 320 and the web server 330 ( Not shown) may be further included.
  • FIG. 4 is a diagram illustrating a cloud network configuration including a web firewall service apparatus of the present invention.
  • the virtual web proxy server 450 is configured as a virtual machine (VM) that executes a web firewall.
  • VM virtual machine
  • Subscribers can apply for web application firewall services in the form of single or dual through the ucloud portal, or apply for bandwidth in various forms such as basic, standard, advanced, and preminum.
  • a virtual router 440 which is a system server, acts as a DHCP server and a virtual web proxy server 450 acts as a client. Allocate Private IP).
  • Private port for the private IP (Private IP) for the use of the management tool (WEB GUI) to set the detailed environment of the individual web firewall virtual machine of the virtual web proxy server 450 is configured for each subscriber.
  • the virtual web proxy server 450 starts Apache to receive a configuration set by a customer in a virtual machine (VM), which is an individual web firewall (WAF), in the form of an API.
  • VM virtual machine
  • WAF individual web firewall
  • License key from central key management server is set and used for automatic online update function.
  • the subscriber's ucloud portal calls basic, standard, advanced, and preminum product information in the form of API to process the service level functions in the web firewall (waf) virtual machine (VM).
  • Waf web firewall
  • VM virtual machine
  • WAF web firewall
  • VM virtual machine
  • the additional data area is used to manage the logs that WAF inspects and detects packets.
  • engineers must configure the partitions for storage in the data area and mount them for use by PostgreSQL DB. There was a problem that was difficult for the customer to set up.
  • an automatic configuration script is created in the WAF VM template, and the parameters are received from the portal and the automatic configuration script is executed.
  • the script first checks if there is any unallocated storage in the VM, and if there is any unallocated storage, it performs partition creation, mount, and DB configuration.
  • WAF web firewall
  • VM virtual machine
  • Portal can configure service for WAF through API.
  • the Layer 2 network (virtual network) method provided in the cloud is a virtual router.
  • VM virtual machine
  • G / W 440
  • Public IP public IP
  • WAF web firewall
  • VM virtual machine
  • the proxy method of the virtual web proxy server 450 transmits the received private IP: port information to a private IP: port of the web server 460. .
  • the virtual web proxy server 450 is automatically configured through API calls, and registers proxy processing for web firewall (WAF) servers, URL and IP registration for web firewall (WAF) servers, and web firewall (WAF). ) Defining detection level, automatic storage allocation, license key registration.
  • Cloudstack manages all the IP and port information of the customer account VM can be configured by mapping with simple information, even if the customer does not have a complex configuration.
  • the cloud stack 430 performs automatic configuration through API call, and creates a web firewall (WAF) server, a service port forwarding process, a WAF management tool, a DB port, and an SSH port forwarding process.
  • WAF web firewall
  • Port information of a web firewall (WAF) virtual machine (VM) and a web server (Web server) 460 may be exposed, and the information may be received and configured by an API of the WAF VM.
  • WAF web firewall
  • VM virtual machine
  • Web server web server
  • WAF Web Firewall
  • VM virtual machine
  • Proxy configuration and URI registration can be configured by accessing the WAF administration tool.
  • the load balancer 420 is a VPX is composed of a commercial SW Load Balancer of Citrix.
  • the load balancer 420 handles automatic configuration and port load balancing through a VPX Load Balancer API (API) call.
  • API VPX Load Balancer API
  • the load balancer 420 processes load balancing in proportion to the number of web firewall virtual machines and web servers to enable load balancing for large packets.
  • the load balancer 420 may process the virtual router 440 (Roter VM) and the virtual web proxy server 450 through the TCP session reuse function.
  • the load balancer 420 and the VPX have an API, which configures the VPX for customer service and distributes ports for load balancing.
  • port forwarding is possible from the virtual router (Router VM) to the virtual web proxy server (WAF VM) through the ports distributed by the load balancer 420, which is an API in the cloud stack 430. Call to configure automatically.
  • Web firewall service apparatus of the present invention can be a redundant configuration.
  • WAF VM web proxy server
  • Compute Node where the virtual machine (VM) is created, is redundant in power, and even if the node itself fails, it is automatically migrated to other nodes in the cluster (8 nodes) to enable continuous service.
  • VM virtual machine
  • Disk is also mirrored so that service is not affected even in the event of a disk failure.
  • the load balancer 420 (VPX) is also redundantly configured in two nodes, and the VPX periodically sends a tcp packet to the web server to determine whether it is a normal service or not.
  • the web firewall is configured as a duplication of Active and Active
  • the web server 460 is configured in plural numbers under the virtual web proxy server (WAF) 450 which is a web firewall.
  • the number of load balancing ports in the VPX 420 which is the load balancer, is divided by the number of virtual web proxy servers X web servers 460 which are web firewalls (WAFs).
  • WAFs web firewalls
  • the web server 460 configures the virtual web proxy server 450, which is a web firewall (WAF), to send packets forwarded to the proxy by different web firewalls (WAF), one web firewall (WAF) is abnormal. By performing the operation, it is possible for the rest of the web firewall (WAF) to utilize the resources of the entire web server 460 while processing the packet.
  • WAF web firewall
  • FIG. 5 is a flowchart illustrating a web firewall service method in a cloud system of the present invention.
  • Web firewall service method in the cloud system of the present invention comprises a plurality of web servers.
  • a virtual machine is created in the cloud system, and a public router (IP) is assigned to the generated virtual machine (VM) to generate a virtual router (Suter).
  • IP public router
  • VM virtual machine
  • VM virtual proxy server
  • Port forwarding the packet received from the virtual router to the virtual private IP (IP) and the assigned port is transmitted to the virtual web proxy server (S530).
  • IP virtual private IP
  • the packet is inspected through the proxy principle of blocking or inspecting the packet in the virtual web proxy server (S540).
  • the packet is port forwarded based on a private IP and a port allocated to each web server (S550).
  • the information of the private IP and the port of the virtual web proxy server is allocated by the virtual router (Router VM).
  • the virtual web proxy server includes a cloud stack API (Api) including the service information requested by the subscriber Receives from (Cloud stack) and automatically configures the configuration and allocation bandwidth of the virtual web proxy server.
  • API application programming interface
  • the private IP assigned to the virtual web proxy server assigned in the router VM and the private IP assigned to the web server are floating IPs.

Abstract

The present invention relates to an apparatus and method for providing a virtualized-type web firewall service in a cloud system by creating a virtual machine (VM) to provide the VM to a subscriber who applies for the web firewall service.

Description

클라우드 시스템에서의 웹 방화벽 서비스 장치 및 방법Apparatus and method for web firewall service in cloud system
본원 발명은 클라우드 시스템에서의 웹 방화벽 서비스 장치 및 방법에 관한 것으로, 보다 상세하게는 웹 방화벽을 클라우드 시스템에서 가상머신(VM)으로 구성하여 서비스할 수 있는 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and a method for a web firewall service in a cloud system, and more particularly, to an apparatus and a method for configuring a web firewall as a virtual machine (VM) in a cloud system to serve.
현대사회는 정보화 사회다. 이러한 정보화 사회를 이끌어 온 주역은 웹 바로 인터넷이다.Modern society is an information society. The leading figure in this information society is the Internet.
수많은 정보가 웹, 인터넷을 통해 제공되면서 누구나 손쉽고 편리하게 다양한 정보들을 접할 수 있게 되었다. 인터넷이 연결되는 곳이라면 어디에서나 클릭 몇 번만으로 생활에 필요한 다양한 물건을 구매하기도 하고, 메신저나 싸이월드, 블로그 등을 통해 친구나 지인들의 안부를 확인하기도 한다.As a lot of information is provided through the web and the Internet, anyone can access various information easily and conveniently. Wherever you are connected to the Internet, you can buy a variety of things you need to live with just a few clicks, or check your friends and acquaintances through messenger, cyworld, and blogs.
직접 은행에 가는 것보다 인터넷뱅킹 이용이 더 익숙한 시대에 살고 있다.I live in an age when Internet banking is more familiar than going to a bank.
웹은 끊임없이 발전하며 새로운 변화를 만들어내고 있고, 우리에게 다양한 편리성과 유용성을 제공하고 있다.The Web is constantly evolving and creating new changes, providing us with a variety of conveniences and usefulness.
그러나, 이러한 편리성의 이면에는 각종 정보보호 관련 사고들이 도사리고 있다.However, various information security related accidents lurk behind these conveniences.
최근 국내에서 급증하는 대량의 개인정보 유출사건, 개인 홈페이지 해킹사건, 금융권의 인터넷뱅킹 해킹사건은 개인 및 기업, 공공기관의 정보 유출을 넘어 직접적인 금전적 피해를 끼치게 되면서 웹 보안에 대해 사람들의 관심이 증가하게 되었다. Recently, a large amount of personal information leakage cases, personal website hacking cases, and financial banking hacking incidents in Korea have caused direct financial damage beyond the leakage of information from individuals, companies, and public institutions. Was done.
*기업의 정보보호관련 침해사건은 기업의 신뢰도 하락으로 기업 이미지에 악영향을 끼치는 건 물론, 집단소송으로 이어져 기업의 존폐위기까지 치닫는 등 정보보안의 중요성은 그 어느 때보다 중요하게 인식되었다. * Information security-related infringement incidents of companies are more important than ever, not only adversely affecting corporate image due to lowered credibility of the company, but also leading to class action lawsuits and ending the crisis of corporate existence.
웹 사이트를 운영하는 기업에서 사용자들이 안전하게 서비스를 이용할 수 있도록 제공하여야 한다. Companies operating web sites should provide services to users safely.
이를 위해서는 안전한 웹 서비스를 구축하는 것이 중요하다. 안전한 웹 서비스 구축을 위해서는 설계 단계에서부터 보안을 고려하여 설계하고, 개발 단계에서는 소스검증 도구를 이용하여 지속적인 개발 소스 검증이 필요하다. 서비스 개발이 완료되면 오픈하기 전에 반드시 보안 전문가의 컨설팅을 통해 서비스 취약점을 점검하고 보완하여야 한다.To do this, it is important to build a secure web service. To build a secure web service, it is designed from the design stage with security in mind. In the development stage, continuous development source verification is required using source verification tools. When the service development is completed, the service vulnerability should be checked and corrected through consulting with a security expert before opening.
하지만 대부분의 기업들은 운영중인 웹 사이트를 두고 보안을 고려하여 처음부터 다시 웹 사이트를 개발하기에는 분명 어려움이 있다. 이러한 경우 웹 방화벽(Web Application Firewall)을 도입하여 웹 사이트를 보호하고 고객들에게 안전한 서비스를 제공하는 방법이다.However, most companies have a hard time finding a secure Web site from scratch and developing it from scratch. In this case, the Web Application Firewall is used to protect the website and provide safe services to customers.
웹 애플리케이션은 우리 생활에서 늘 접하는 것으로 인터넷을 통해서 우리들이 사용하는 홈페이지나 대부분의 서비스들이 웹 애플리케이션(Web Application)이다.Web applications are always in our lives, and the homepages and most services we use through the Internet are Web applications.
도 1 은 통상의 웹사이트 구조를 보여주는 도면이다.1 shows a typical website structure.
웹 공격의 대부분은 Web Application을 구축할 때 생겨나는 취약점을 이용해서 웹서버(Web Server)(120)를 공격하거나 디비(DB)(130) 내용을 악용하는 방법이 대부분이다.Most of the web attack is to attack the web server (120) or exploit the contents of the DB (130) by using vulnerabilities generated when building a web application.
공격자는 HTTP Request에 특정 공격코드 또는 특정 Web Application 만이 가지고 있는 취약점을 우회하는 코드를 삽입하여 Web Server에 전송하게 된다.An attacker inserts a code that bypasses a specific attack code or a vulnerability that only a specific web application has in the HTTP request and sends it to the web server.
결국 Web Application은 의도하지 않은 동작을 하게 되고, 그 결과를 HTTP reply를 통해 공격자에 다양한 정보들을 전송하게 되는 것이다.Eventually, the web application will behave unintentionally, and the result is to send various information to the attacker via HTTP reply.
웹 방화벽에서 웹서버(Web server)(120) 쪽으로 전송되는 모든 HTTP Request Packet을 검사하여 Web Application에게 의도하지 않은 내용들은 전송되지 못하도록 하는 역할을 한다. 또한 Web Server에서 통과하는 HTTP Reply Packet 내용을 감시하여 특정 정보의 유출을 막는 역할도 하게 된다.It inspects all HTTP request packets transmitted from the web firewall toward the web server 120 and prevents unintended contents from being transmitted to the web application. Also, it monitors the contents of HTTP Reply Packet passing through Web Server and prevents the leakage of specific information.
웹 방화벽은 외부로부터 유입되는 웹 프로토콜을 필터링하여 웹어플리케이션 취약점 보완 및 웹 해킹 공격에 대한 대응 프로세스를 수립하며, 기존 보안 솔루션과는 달리 네트워크 계층이 아닌 애플리케이션 레벨에서 분석 및 차단 기능을 수행한다.Web firewalls filter web protocols from the outside to establish web application vulnerability and response processes against web hacking attacks. Unlike existing security solutions, web firewalls perform analysis and blocking at the application level instead of the network layer.
도 2 는 통상의 프락시(Proxy) 서버의 릴레이(Relay) 개념을 보여주는 도면이다.FIG. 2 is a diagram illustrating a relay concept of a conventional proxy server.
웹 방화벽의 원리는 웹 서버로 들어오고 나가는 모든 패킷(Packet)을 프락시(Proxy)원리를 적용하여 패킷의 내용을 검사하고 차단하는 것이다.The principle of a web firewall is to inspect and block the contents of packets by applying the proxy principle to all packets entering and leaving a web server.
프락시(Proxy)란 웹 브라우저에서 프럭시 서버를 접근하는 방법으로 사용되는 서비스 기술로 웹 브라우저에서 프락시를 지정하면 웹 클라이언트에서 요청되는 URL이 해당 서버에 연결되는 것이 아니라, 프락시 서버(220)에 연결된다. Proxy is a service technology used to access a proxy server from a web browser. When a proxy is specified in the web browser, the URL requested from the web client is not connected to the server, but is connected to the proxy server 220. do.
프락시 요청을 받은 프락시 서버(220)는 URL의 해당 서버와 접속하여 요청을 보내고, 클라이언트 대신 응답을 받아 이를 클라이언트(210)에 넘겨주는 역할을 한다.The proxy server 220 receiving the proxy request sends a request by connecting to the corresponding server of the URL, receives a response instead of the client, and delivers the request to the client 210.
본 발명의 실시예가 이루고자 하는 기술적 과제는, 웹 방화벽 서비스를 신청한 가입자에 가상 머신(VM) 생성하여 제공함으로써 클라우드 시스템에서 가상화 형태로 웹 방화벽 서비스를 제공할 수 있는 장치 및 방법에 관한 것이다.An embodiment of the present invention is directed to an apparatus and method for providing a web firewall service in a virtual form in a cloud system by creating and providing a virtual machine (VM) to a subscriber who has applied for a web firewall service.
상기 기술적 과제를 달성하기 위한 본 발명의 실시예에 따른 클라우드 시스템에서의 웹 방화벽 서비스 장치는,소정의 퍼블릭 아이피(Public IP)로 패킷을 수신하여 제 1 사설(Private) 아이피(IP) 및 가입자별로 할당된 제 1 포트로 상기 패킷을 전송하는 가상 라우터; 할당받은 상기 제 1 사설(Private) 아이피(IP) 및 상기 제 1 포트로 포트 포워딩된 상기 패킷을 차단하거나 검사하고 제 2 사설(Private) 아이피(IP) 및 상기 제 1 포트에 대응하는 제 2 포트로 상기 패킷을 전송하는 가상 웹 프락시 서버; 및 상기 제 2 사설(Private) 아이피(IP) 및 상기 제 2 포트로 포트 포워딩된 상기 패킷을 수신하여 웹서비스를 제공하는 웹서버;를 포함하는 것을 특징으로 한다.Web firewall service device in a cloud system according to an embodiment of the present invention for achieving the above technical problem, by receiving a packet to a predetermined public IP (Public IP) for each of the first Private (IP) IP and subscriber A virtual router for transmitting the packet to the assigned first port; Blocking or checking the packet forwarded to the assigned first private IP and the first port, and a second port corresponding to a second private IP and the first port A virtual web proxy server for transmitting the packet to the server; And a web server configured to receive the second private IP and the packet forwarded to the second port and provide a web service.
바람직하게는 상기 가상 라우터 및 상기 가상 웹 프락시 서버는 클라우드 시스템에서의 가상 머신(VM :Virtual Machine)인 것을 특징으로 한다.Preferably, the virtual router and the virtual web proxy server are characterized in that a virtual machine (VM) in a cloud system.
바람직하게는 상기 가상 웹 프락시 서버의 상기 제 1 사설(Private) 아이피(IP) 및 상기 제 1 포트의 정보는 상기 가상 라우터에 의해 할당되는 것을 특징으로 한다.Preferably, the information of the first private IP and the first port of the virtual web proxy server is allocated by the virtual router.
바람직하게는 상기 가상 웹 프락시 서버 및 상기 웹서버는 복수개로 구성되며, 각 가상 웹 프락시 서버는 서로 다른 상기 제 1 사설(Private) 아이피(IP)를, 각 웹서버는 서로 다른 상기 제 2 사설(Private) 아이피(IP)를 할당받는 것을 특징으로 한다.Preferably, the virtual web proxy server and the web server are configured in plural, each virtual web proxy server having a different first private IP, and each web server having a different second private ( Private) characterized in that the IP (IP) is assigned.
바람직하게는 상기 가상 웹 프락시 서버와 에이피아이(API : application programming interface)로 연동되는 클라우드 스택(Cloud stack);을 더 포함하고, 상기 가상 웹 프락시 서버는 상기 가입자가 신청한 서비스 정보를 포함한 에이피아이(API)를 상기 클라우드 스택(Cloud stack)에서 수신하여 상기 가상 웹 프락시 서버의 구성 및 할당 대역폭을 자동으로 설정하는 것을 특징으로 한다.Preferably, the virtual web proxy server and a cloud stack (API) interworking with an API (application programming interface) (API); further comprising, the virtual web proxy server is an api including service information requested by the subscriber (API) is received from the cloud stack (Cloud stack) characterized in that the configuration of the configuration and the allocation bandwidth of the virtual web proxy server automatically.
바람직하게는 상기 제 1 사설(Private) 아이피(IP), 상기 제 2 사설(Private) 아이피(IP)는 유동 아이피(IP)인 것을 특징으로 한다.Preferably, the first private IP and the second private IP are floating IPs.
바람직하게는 상기 가상 웹 프락시 서버 및 상기 웹서버의 개수에 비례하여 상기 패킷의 부하를 분산 처리하는 부하 분산부;를 더 포함하는 것을 특징으로 한다.Preferably, the apparatus further comprises a load balancer configured to distribute the load of the packet in proportion to the number of the virtual web proxy server and the web server.
상기 기술적 과제를 달성하기 위한 본 발명의 실시예에 따른 클라우드 시스템에서의 웹 방화벽 서비스 방법은, 복수개의 웹서버를 포함하는 웹 방화벽 서비스 방법에 있어서, 제 1 가상 머신(VM : Virtual Machine)을 생성하고, 상기 제 1 가상 머신(VM)에 퍼블릭 아이피(Public IP)를 할당하여 가상 라우터를 생성하는 가상 라우터 생성 단계; 제 2 가상 머신(VM : Virtual Machine)을 생성하고, 상기 2 가상 머신(VM)에 제 1 사설(Private) 아이피(IP) 및 가입자별로 서로 다른 제 1 포트를 할당하여 가상 웹 프락시 서버를 생성하는 가상 웹 프락시 서버 생성 단계; 상기 가상 라우터에서 수신한 패킷을 상기 1 사설(Private) 아이피(IP) 및 상기 제 1 포트로 포트 포워딩하여 상기 가상 웹 프락시 서버로 전송하는 패킷 전송 단계; 상기 가상 웹 프락시 서버에서 상기 패킷을 차단하거나 검사하는 패킷 검열단계; 및 상기 패킷을 상기 각 웹서버에 할당된 제 2 사설(Private) 아이피(IP) 및 제 2 포트를 기초로 포트 포워딩하는 웹서버 매핑단계; 를 포함하는 것을 특징으로 한다.Web firewall service method in a cloud system according to an embodiment of the present invention for achieving the above technical problem, in a web firewall service method comprising a plurality of web servers, creating a first virtual machine (VM) Generating a virtual router by allocating a public IP to the first virtual machine; A virtual web proxy server is created by creating a second virtual machine (VM) and assigning different first ports for each first private IP and subscriber to the second virtual machine. Creating a virtual web proxy server; Transmitting a packet received by the virtual router to the first private IP and the first port, and forwarding the packet to the virtual web proxy server; A packet inspecting step of blocking or inspecting the packet at the virtual web proxy server; And a web server mapping step of forwarding the packet based on a second private IP and a second port assigned to each web server. Characterized in that it comprises a.
바람직하게는 상기 가상 웹 프락시 서버의 상기 제 1 사설(Private) 아이피(IP) 및 상기 제 1 포트의 정보는 상기 가상 라우터에 의해 할당되는 것을 특징으로 한다.Preferably, the information of the first private IP and the first port of the virtual web proxy server is allocated by the virtual router.
바람직하게는 상기 가상 웹 프락시 서버는 복수개로 구성되며, 각 가상 웹 프락시 서버는 서로 다른 상기 제 1 사설(Private) 아이피(IP)를, 각 웹서버는 서로 다른 상기 제 2 사설(Private) 아이피(IP)를 할당받는 것을 특징으로 한다.Preferably, the virtual web proxy server includes a plurality of virtual web proxy servers, each virtual web proxy server having a different first private IP, and each web server having a different second private IP ( IP) is assigned.
바람직하게는 상기 가상 웹 프락시 서버와 에이피아이(API : application programming interface)로 연동되는 클라우드 스택(Cloud stack);을 더 포함하고,상기 가상 웹 프락시 서버는 상기 가입자가 신청한 서비스 정보를 포함한 에이피아이(API)를 상기 클라우드 스택(Cloud stack)에서 수신하여 상기 가상 웹 프락시 서버의 구성 및 할당 대역폭을 자동으로 설정하는 것을 특징으로 한다.Preferably, the virtual web proxy server and a cloud stack (API) linked to the API (API: application programming interface); further comprising, the virtual web proxy server is an AP including service information requested by the subscriber (API) is received from the cloud stack (Cloud stack) characterized in that the configuration of the configuration and the allocation bandwidth of the virtual web proxy server automatically.
바람직하게는 상기 제 1 사설(Private) 아이피(IP), 상기 제 2 사설(Private) 아이피(IP)는 유동 아이피(IP)인 것을 특징으로 한다.Preferably, the first private IP and the second private IP are floating IPs.
바람직하게는 부하 분산부에 의해 상기 가상 웹 프락시 서버 및 상기 웹서버의 개수에 비례하여 상기 패킷의 부하를 분산 처리하는 부하 분산단계;를 더 포함하는 것을 특징으로 한다.Preferably, a load balancing step of distributing the load of the packet in proportion to the number of the virtual web proxy server and the web server by a load balancer;
바람직하게는 상기 가상 웹 프락 서버, 상기 웹서버 및 상기 부하 분산부를 이중화 구조로 구성하는 것을 특징으로 한다.Preferably, the virtual web proxy server, the web server and the load balancer are configured in a redundant structure.
본 발명에 의한 클라우드 시스템에서의 웹 방화벽 서비스 장치 및 방법에 의하면 가입자가 클라우드 포탈을 통해서 신청한 웹 방화벽의 구성(single, dual)과 대역폭(Basic, Standard, Advanced, Preminum)등의 서비스를 API 형태로 호출하여 자동으로 셋팅하는 것이 가능한 효과가 있다.According to an apparatus and method for a web firewall service in a cloud system according to the present invention, a service such as a single (dual, dual) and bandwidth (Basic, Standard, Advanced, Preminum) of a web firewall that a subscriber has applied for through a cloud portal is used as an API type. It is possible to set automatically by calling.
본 발명에 의한 클라우드 시스템에서의 웹 방화벽 서비스 장치 및 방법에 의하면 웹 방화벽, 웹 서버 및 Load Balancer가 이중화로 구성되어 안정적인 서비스를 제공할 수 있는 효과가 있다.According to the apparatus and method for a web firewall service in a cloud system according to the present invention, a web firewall, a web server, and a load balancer are configured in a redundant manner to provide a stable service.
도 1 은 통상의 웹사이트 구조를 보여주는 도면이다.1 shows a typical website structure.
도 2 는 통상의 프락시(Proxy) 서버의 릴레이(Relay) 개념을 보여주는 도면이다.FIG. 2 is a diagram illustrating a relay concept of a conventional proxy server.
도 3 은 본원 발명의 클라우드 시스템에서의 웹 방화벽 서비스 장치의 구성을 보여주는 도면이다.3 is a diagram showing the configuration of a web firewall service apparatus in the cloud system of the present invention.
도 4 는 본원 발명의 웹 방화벽 서비스 장치를 포함한 클라우드 네트워크 구성을 보여주는 도면이다.4 is a diagram illustrating a cloud network configuration including a web firewall service apparatus of the present invention.
도 5 는 본원 발명의 클라우드 시스템에서의 웹 방화벽 서비스 방법의 흐름도를 보여주는 도면이다.5 is a flowchart illustrating a web firewall service method in a cloud system of the present invention.
본 발명의 실시예에 따른 클라우드 시스템에서의 웹 방화벽 서비스 장치는,소정의 퍼블릭 아이피(Public IP)로 패킷을 수신하여 제 1 사설(Private) 아이피(IP) 및 가입자별로 할당된 제 1 포트로 상기 패킷을 전송하는 가상 라우터; 할당받은 상기 제 1 사설(Private) 아이피(IP) 및 상기 제 1 포트로 포트 포워딩된 상기 패킷을 차단하거나 검사하고 제 2 사설(Private) 아이피(IP) 및 상기 제 1 포트에 대응하는 제 2 포트로 상기 패킷을 전송하는 가상 웹 프락시 서버; 및 상기 제 2 사설(Private) 아이피(IP) 및 상기 제 2 포트로 포트 포워딩된 상기 패킷을 수신하여 웹서비스를 제공하는 웹서버;를 포함하는 것을 특징으로 한다.Web firewall service apparatus in a cloud system according to an embodiment of the present invention, by receiving a packet to a predetermined public IP (Public IP) to the first private (IP) and the first port assigned to each subscriber to the first port (IP) A virtual router for transmitting a packet; Blocking or checking the packet forwarded to the assigned first private IP and the first port, and a second port corresponding to a second private IP and the first port A virtual web proxy server for transmitting the packet to the server; And a web server configured to receive the second private IP and the packet forwarded to the second port and provide a web service.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다. DETAILED DESCRIPTION In order to fully understand the present invention, the operational advantages of the present invention, and the objects achieved by the practice of the present invention, reference should be made to the accompanying drawings which illustrate preferred embodiments of the present invention and the contents described in the drawings.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. Like reference numerals in the drawings denote like elements.
도 3 은 본원 발명의 클라우드 시스템에서의 웹 방화벽 서비스 장치의 구성을 보여주는 도면이다.3 is a diagram showing the configuration of a web firewall service apparatus in the cloud system of the present invention.
본원 발명의 웹 방화벽 서비스 장치는 웹 방화벽 서비스를 신청한 가입자에 가상 머신(VM) 생성하여 제공함으로써 클라우드 시스템에서 가상화 형태로 웹 방화벽 서비스를 제공할 수 있는 장치 및 방법에 관한 것이다.The web firewall service apparatus of the present invention relates to an apparatus and method for providing a web firewall service in a virtual form in a cloud system by creating and providing a virtual machine (VM) to a subscriber who has applied for a web firewall service.
본 발명에 의한 클라우드 시스템에서의 웹 방화벽 서비스 장치 및 방법에 의하면 가입자가 클라우드 포탈을 통해서 신청한 웹 방화벽의 구성(single, dual)과 대역폭(Basic, Standard, Advanced, Preminum)등의 서비스를 API 형태로 호출하여 자동으로 셋팅하는 것이 가능하다.According to an apparatus and method for a web firewall service in a cloud system according to the present invention, a service such as a single (dual, dual) and bandwidth (Basic, Standard, Advanced, Preminum) of a web firewall that a subscriber has applied for through a cloud portal is used as an API type. It can be set automatically by calling.
본원 발명의 웹 방화벽 서비스 장치 및 방법은 기존 HW appliance 제품으로 제공되던 웹 방화벽이 가상화되어 가입자에 가상 머신(VM)형태로 생성 제공되는 것이다.Web firewall service apparatus and method of the present invention is that the web firewall provided in the existing HW appliance products are virtualized and provided to the subscriber in the form of a virtual machine (VM).
본 발명의 웹 방화벽 서비스 제공 장치 및 방법(300)은 가상 라우터(310), 가상 웹 프락시 서버(320) 및 웹서버(330)를 포함하여 이루어진다.Apparatus and method 300 for providing a web firewall service of the present invention includes a virtual router 310, a virtual web proxy server 320, and a web server 330.
가상 라우터 및 가상 웹 프락시 서버는 클라우드 시스템에서의 가상 머신(VM :Virtual Machine)으로 구성된다.The virtual router and the virtual web proxy server are composed of virtual machines (VMs) in a cloud system.
가상 웹 프락시 서버(320)는 웹 방화벽(Web Application Firewall)로서 웹 서버(330)로 들어오고 나가는 모든 패킷(Packet)을 프락시(Proxy)원리를 적용하여 패킷의 내용을 검사하고 차단하는 것이다.The virtual web proxy server 320 inspects and blocks the contents of the packet by applying a proxy principle to all packets entering and leaving the web server 330 as a web application firewall.
웹 클라이언트에서 요청되는 URL이 해당 웹 서버(330)로 직접 연결되는 것이 아니라, 가상 웹 프락시 서버(320)에 연결된다. The URL requested by the web client is not directly connected to the web server 330, but is connected to the virtual web proxy server 320.
프락시 요청을 받은 가상 웹 프락시 서버(320)는 URL의 해당 웹 서버와 접속하여 요청을 보내고, 클라이언트 대신 응답을 받아 되돌려주는 역할을 한다.The virtual web proxy server 320 receiving the proxy request sends a request by connecting to the corresponding web server of the URL, and receives and returns a response on behalf of the client.
가상 라우터(310)는 소정의 퍼블릭 아이피(Public IP)를 할당받아서 퍼블릭 아이피를 통해 패킷을 수신하고, 가상 라우터(310)는 DHCP(Dynamic Host Configuration Protocol) 서버 역할을 하여 가상 웹 프락시 서버(320)에 유동 사설(Private) 아이피(IP)를 할당하는 역할을 수행한다.The virtual router 310 receives a predetermined public IP and receives a packet through the public IP, and the virtual router 310 acts as a Dynamic Host Configuration Protocol (DHCP) server to provide a virtual web proxy server 320. It assigns floating private IP to.
또한 가상 라우터(310)는 가입자별로 별도의 포트를 할당하여 수신한 패킷을 할당된 포트로 포트 포워딩을 수행한다.In addition, the virtual router 310 performs a port forwarding of the received packet to the assigned port by assigning a separate port for each subscriber.
가상 웹 프락시 서버(320)는 가상 라우터(310)에서 할당받은 사설(Private) 아이피(IP) 및 포트로 포트 포워딩된 패킷을 차단하거나 검사한다.The virtual web proxy server 320 blocks or inspects a packet forwarded to a private IP and a port allocated by the virtual router 310.
또한 가상 웹 프락시 서버(320)는 웹서버(320)에 할당된 사설(Private) 아이피(IP) 및 포트로 수신한 패킷을 전달하여주는 역할을 수행한다.In addition, the virtual web proxy server 320 serves to deliver the packet received to the private IP (IP) and port assigned to the web server 320.
즉, 가상 웹 프락시 서버(320)는 자신의 사설(Private) 아이피(IP) 및 포트 정보를 웹서버(330)의 사설(Private) 아이피(IP) 및 포트로 매핑시켜 전달하여주는 기능을 수행하는 것이다.That is, the virtual web proxy server 320 maps its private IP and port information to the private IP and port of the web server 330 and transmits it. will be.
다만, 방화벽 기능을 동시에 수행하기 때문에 다른 포트로 전송될 패킷을 차단하거나 바이이러스등이 탐지된 패킷에 대해서는 차단시키는 기능도 동시에 수행하는 것이다.However, since the firewall function is executed at the same time, it blocks the packet to be transmitted to the other port or blocks the packet detected by the virus.
웹서버(330)는 각자의 사설(Private) 아이피(IP) 및 포트로 포트 포워딩된 패킷을 수신하여 웹서비스를 제공한다.The web server 330 receives a port forwarded packet to its own private IP and port to provide a web service.
다만, 웹서비스 제공시에 바로 클라이언트로 결과를 응답하여 수행하는 것이 아니라 다시 가상 웹 프락시 서버(320)를 거쳐서 클라이언트를 응답을 전달한다.However, when the web service is provided, the response is not immediately performed by the client, but the client forwards the response through the virtual web proxy server 320.
가상 웹 프락시 서버(320)의 유동 사설(Private) 아이피(IP) 및 포트는 가상 라우터에 의해 할당되는 것이다.The floating private IP and port of the virtual web proxy server 320 are allocated by the virtual router.
가상 머신(VM)인 가상 웹 프락시 서버(320)는 클라우드 스택(Cloud stack)과에이피아이(API : application programming interface)로 연동된다.The virtual web proxy server 320, which is a virtual machine (VM), is interworked with a cloud stack and an application programming interface (API).
가상 웹 프락시 서버(320)는 가입자가 신청한 서비스 정보를 포함한 에이피아이(API)를 클라우드 스택(Cloud stack)에서 수신하여 가상 웹 프락시 서버의 구성 및 할당 대역폭을 자동으로 설정한다.The virtual web proxy server 320 automatically receives an API (API) including service information requested by the subscriber from the cloud stack and automatically configures the configuration and allocation bandwidth of the virtual web proxy server.
웹 방화벽(Web Application Firewall)인 가상 웹 프락시 서버(320)는 single, dual의 형태로 구성될 수 있고, 대역폭 역시 Basic, Standard, Advanced, Preminum등의 다양한 형태로 서비스를 제공할 수 있다.The virtual web proxy server 320, which is a web application firewall, may be configured in a single or dual form, and bandwidth may also provide services in various forms such as basic, standard, advanced, and preminum.
가상 웹 프락시 서버(320) 및 웹서버(330)는 복수개로 구성될 수 있으며 구성된 가상 웹 프락시 서버(320) 및 웹서버(330)의 개수에 비례하여 패킷의 부하를 분산 처리하는 부하 분산부(미도시)를 더 포함할 수 있다.The virtual web proxy server 320 and the web server 330 may include a plurality of load balancers for distributing the load of packets in proportion to the number of the configured virtual web proxy server 320 and the web server 330 ( Not shown) may be further included.
도 4 는 본원 발명의 웹 방화벽 서비스 장치를 포함한 클라우드 네트워크 구성을 보여주는 도면이다.4 is a diagram illustrating a cloud network configuration including a web firewall service apparatus of the present invention.
가상 웹 프락시 서버(450)는 웹 방화벽(Web Application Firewall)을 수행하는 가상 머신(VM)으로 구성된다.The virtual web proxy server 450 is configured as a virtual machine (VM) that executes a web firewall.
가입자는 유클라우드(ucloud) 포탈을 통해서 웹 방화벽(Web Application Firewall)서비스를 single, dual의 형태로 신청하거나, 대역폭을 Basic, Standard, Advanced, Preminum등의 다양한 형태로 신청할 수 있다.Subscribers can apply for web application firewall services in the form of single or dual through the ucloud portal, or apply for bandwidth in various forms such as basic, standard, advanced, and preminum.
가상 웹 프락시 서버(450)는 가상(VM)의 생성시 시스템 서버인 가상 라우터( Router)(440)가 DHCP 서버 역할을 하고 가상 웹 프락시 서버(450)가 클라이언트 역할을 해서 자동 생성된 사설 아이피(Private IP)를 할당한다.In the virtual web proxy server 450, a virtual router 440, which is a system server, acts as a DHCP server and a virtual web proxy server 450 acts as a client. Allocate Private IP).
가상 웹 프락시 서버(450)의 개별 웹 방화벽 가상 머신의 세부환경을 설정할 수 있는 관리도구 (WEB GUI) 사용을 위한 사설 아이피(Private IP)에 대한 Private Port를 가입자별로 구성한다. Private port for the private IP (Private IP) for the use of the management tool (WEB GUI) to set the detailed environment of the individual web firewall virtual machine of the virtual web proxy server 450 is configured for each subscriber.
웹 방화벽(WAF) 에이피아이(API) 설정을 위한 5000 Port, PostgreSQL(오픈소스 Database) 사용을 위한 5433 Port, SSH 접근을 위한 22 Port를 구성하는 것이다.Configure 5000 ports for Web Firewall (WAF) API, 5433 Port for using PostgreSQL (Open Source Database), and 22 Port for SSH access.
가상 웹 프락시 서버(450)에는 개별 웹방화벽(WAF)인 가상 머신(VM)에 고객이 설정한 구성을 에이피아이( API) 형태로 받아주기 위한 Apache를 기동한다. The virtual web proxy server 450 starts Apache to receive a configuration set by a customer in a virtual machine (VM), which is an individual web firewall (WAF), in the form of an API.
자동 Online 업데이트 기능 사용을 위해 중앙 key 관리 서버에서 라이센스 키를 받아서 셋팅 한다. License key from central key management server is set and used for automatic online update function.
가입자의 유클라우드 포털(Portal)은 웹 방화벽(WAF) 가상머신(VM)에 서비스 단계별 기능을 처리하기 위해서 Basic, Standard, Advanced, Preminum 상품 정보를 API 형태로 호출하여 셋팅 한다. The subscriber's ucloud portal calls basic, standard, advanced, and preminum product information in the form of API to process the service level functions in the web firewall (waf) virtual machine (VM).
가상 웹 프락시 서버(450)인 웹 방화벽(WAF) 가상머신(VM)은 CentOS 기반의 VM 으로 Root 영역은 20G, Data 영역은 380G가 할당이 된다. The web firewall (WAF) virtual machine (VM), which is the virtual web proxy server 450, is a CentOS-based VM, and the root area is 20G and the data area is 380G.
프락시 서버에서 추가 Data 영역은 WAF가 패킷을 검사하고 탐지한 log를 관리 하기 위한 영역으로 기존에는 엔지니어가 Data 영역의 스토리지에 대한 파티션 생성, 마운트 후, PostgreSQL DB가 사용할 수 있도록 구성 작업을 수행하여야 하나 고객이 직접 설정하기에 어려운 문제점이 있었다.In the proxy server, the additional data area is used to manage the logs that WAF inspects and detects packets. In the past, engineers must configure the partitions for storage in the data area and mount them for use by PostgreSQL DB. There was a problem that was difficult for the customer to set up.
이에 본원발명에서는 가상 웹 프락시 서버(450)에서 이를 자동화 하기 위해서 WAF VM 템플릿에 자동 구성 스크립트를 작성하고 포탈에서 인자를 받아서 자동 구성 스크립트를 실행한다. Therefore, in the present invention, in order to automate this in the virtual web proxy server 450, an automatic configuration script is created in the WAF VM template, and the parameters are received from the portal and the automatic configuration script is executed.
스크립트는 현재 VM에 미 할당된 스토리지가 있는지 우선 확인하고 미 할당된 스토리지가 있는 경우 파티션생성, 마운트, DB 구성작업을 실시한다.The script first checks if there is any unallocated storage in the VM, and if there is any unallocated storage, it performs partition creation, mount, and DB configuration.
또한 파티션 생성, 마운트, DB 구성이 이미 설정되어 있는 경우는 해당 작업을 수행하지 않는다.In addition, if the partition creation, mounting, and DB configuration have already been set, this operation will not be performed.
가상 웹 프락시 서비(450)인 웹 방화벽(WAF) 가상 머신(VM)은 5000 포트로 API를 받아 줄 수 있는 상태가 유지한다.The web firewall (WAF) virtual machine (VM), which is the virtual web proxy service 450, is kept in a state capable of receiving an API through the 5000 port.
포탈은 API를 통해서 WAF에 대한 서비스 구성을 할 수 있다. Portal can configure service for WAF through API.
기존 웹(Web) 방화벽은 보통 Network 구간에 Inline 방식으로 Inbound 패킷을 검사해서 해당 Web 서버로 Outbound 하는 방식이 보통의 구성이나, 본원 발명은 Cloud에서 제공되는 Layer 2 네트웍크 (가상 네트워크) 방식은 가상 라우터(440)인 가상 머신(VM) 시스템 G/W가 있고 퍼블릭 아이피(Public IP를 할당 받은후 해당 IP에 가입자별로 포트(Port)를 분할하여 서비스 하는 방식이다.Existing web firewall is usually configured to check the inbound packet in the inline method in the network section and outbound to the corresponding web server, but in the present invention, the Layer 2 network (virtual network) method provided in the cloud is a virtual router. There is a virtual machine (VM) system G / W (440), and the public IP (Public IP) is assigned after the service by dividing the port (Port) for each subscriber.
가상 웹 프락시 서버(450)인 웹 방화벽(WAF) 가상 머신(VM)은 고객의 가상 라우터(440)와 웹 서버(460)에 위치하며 포트포워딩된 패킷을 검사하고 다시 웹서버(460)로 전송하는 프락시(Proxy) 방식으로 동작한다.A web firewall (WAF) virtual machine (VM), which is a virtual web proxy server 450, is located at the customer's virtual router 440 and web server 460, and inspects port forwarded packets and sends them back to the web server 460. It works in a proxy manner.
가상 웹 프락시 서버(450)의 Proxy 방식은 입력받은 사설 아이피(Private IP): 포트(Port) 정보를 웹 서버(460)(Web Server)의 사설 아이피(Private IP):포트(Port)로 전송한다.The proxy method of the virtual web proxy server 450 transmits the received private IP: port information to a private IP: port of the web server 460. .
가상 웹 프락시 서버(450)는 에이피아이(API) 호출을 통한 자동 설정이 되며, 웹 방화벽(WAF) 서버에 대한 프락시 처리등록, 웹 방화벽(WAF) 서버에 대한 URL 및 IP 등록, 웹 방화벽(WAF) 탐지 레벨 정의, 스토리지 자동 할당, 라이센스 키 등록의 역할을 수행한다.The virtual web proxy server 450 is automatically configured through API calls, and registers proxy processing for web firewall (WAF) servers, URL and IP registration for web firewall (WAF) servers, and web firewall (WAF). ) Defining detection level, automatic storage allocation, license key registration.
포탈 시스템 및 클라우드 스택(Cloudstack)(430)은 고객 계정 VM의 모든 IP와 포트정보를 관리하고 있으므로 고객이 복잡한 구성을 하지 않더라도 간단한 정보를 가지고 매핑을 하여 구성이 가능하다.Portal system and cloud stack (Cloudstack) (430) manages all the IP and port information of the customer account VM can be configured by mapping with simple information, even if the customer does not have a complex configuration.
클라우드 스택(Cloudstack)(430)은 에이피아이(API)호출을 통한 자동 설정을 수행하며, 웹 방화벽(WAF) 서버 생성, 서비스 포트 포워딩 처리, WAF 관리도구, DB포트, SSH 포트 포워딩 처리를 한다.The cloud stack 430 performs automatic configuration through API call, and creates a web firewall (WAF) server, a service port forwarding process, a WAF management tool, a DB port, and an SSH port forwarding process.
웹 방화벽(WAF) 가상머신(VM) 및 웹 서버(Web Server)(460)의 포트 정보를 노출하고 그 정보를 WAF VM의 API가 받아서 자동으로 구성할 수 있다.Port information of a web firewall (WAF) virtual machine (VM) and a web server (Web server) 460 may be exposed, and the information may be received and configured by an API of the WAF VM.
실제 서비스되는 웹 사이트의 Url 또는 IP 등록과 해당 사이트에 대한 보안 룰 검증 레벨을 고객에게 입력받아 웹 방화벽(WAF) 가상머신(VM)에 API를 통해 자동으로 구성된다.It is automatically configured through API on Web Firewall (WAF) virtual machine (VM) by receiving customer's URL or IP registration of actual serviced web site and security rule verification level for the site.
프락시(Proxy) 구성 및 URI 등록은 WAF의 관리도구에 접속해서 구성할수 있다. Proxy configuration and URI registration can be configured by accessing the WAF administration tool.
부하분산부(420)는 VPX는 Citrix의 상용 SW Load Balancer로 구성된다.The load balancer 420 is a VPX is composed of a commercial SW Load Balancer of Citrix.
부하분산부(420)는 VPX Load Balancer 에이피아이(API) 호출을 통한 자동 설정, 포트 로드 밸런싱을 처리한다.The load balancer 420 handles automatic configuration and port load balancing through a VPX Load Balancer API (API) call.
부하분산부(420)는 웹 방화벽 가상머신 및 웹 서버의 개수에 비례하여 부하 분산을 처리하여 대용량 패킷에 대한 부하분산 처리를 가능하도록 한다.The load balancer 420 processes load balancing in proportion to the number of web firewall virtual machines and web servers to enable load balancing for large packets.
또한 부하분산부(420)는 TCP 세션 Reuse기능을 통해 가상 라우터(440)(Roter VM) 및 가상 웹 프락시 서버(450)에 대한 처리 능력도 가능하다.In addition, the load balancer 420 may process the virtual router 440 (Roter VM) and the virtual web proxy server 450 through the TCP session reuse function.
부하분산부(420), VPX 는 에이피아이(API)를 가지고 있으며 이 API 를 통해 VPX 를 고객 서비스에 맞도록 구성을 하고 부하분산을 할 포트를 분배해준다.The load balancer 420 and the VPX have an API, which configures the VPX for customer service and distributes ports for load balancing.
또한 부하분산부(420)에서 분배된 포트를 통해 가상 라우터(Router VM)에서 가상 웹 프락시 서버(WAF VM)으로 포트 포워딩 처리가 가능하며 이는 클라우드 스택(Cloudstack)(430)에서 에이피아이(API)를 호출하여 자동 구성한다.In addition, port forwarding is possible from the virtual router (Router VM) to the virtual web proxy server (WAF VM) through the ports distributed by the load balancer 420, which is an API in the cloud stack 430. Call to configure automatically.
본원 발명의 웹 방화벽 서비스 장치는 이중화 구성이 가능하다.Web firewall service apparatus of the present invention can be a redundant configuration.
웹 프락시 서버(WAF VM)이 생성되는 Rack은 상단의 10G Service, Storage Switch 및 1G Network Switch를 이중화로 구성한다.Rack where web proxy server (WAF VM) is created consists of redundant 10G Service, Storage Switch and 1G Network Switch.
해당 가상 머신(VM)이 생성되는 Compute Node는 전원이 이중화 되어 있으며 Cnode 자체가 불량이 발생한 경우에도 Cluster 내의(8개 Cnode) 다른 Cnode에 자동으로 Migration되어 지속적인 서비스가 가능하다.Compute Node, where the virtual machine (VM) is created, is redundant in power, and even if the node itself fails, it is automatically migrated to other nodes in the cluster (8 nodes) to enable continuous service.
Disk 또한 mirror 구성되어 Disk 장애시에도 서비스에 영향이 없는 구성이다.Disk is also mirrored so that service is not affected even in the event of a disk failure.
부하분산부(420)(VPX) 또한 2개의 Cnode에 이중화 구성되어 있으며 VPX는 주기적으로 웹서버에 tcp 패킷을 날려 정상적인 서비스 여부를 판단하여 비정상적인 세션에는 패킷을 날리지 않는 구조로 구성할 수 있다.The load balancer 420 (VPX) is also redundantly configured in two nodes, and the VPX periodically sends a tcp packet to the web server to determine whether it is a normal service or not.
이를 이용해서 웹 방화벽(WAF)는 Active, Active로 이중화 구성을 하고 웹 서버(460)는 웹 방화벽인 가상 웹 프락시 서버(WAF)(450) 하단에 복수개로 구성한다.By using this, the web firewall (WAF) is configured as a duplication of Active and Active, and the web server 460 is configured in plural numbers under the virtual web proxy server (WAF) 450 which is a web firewall.
웹 방화벽(WAF)인 가상 웹 프락시 서버의 수 X 웹서버(460)의 수만큼 부하분산부인 VPX(420)에서 로드 밸런싱하는 포트를 쪼개서 구성한다.The number of load balancing ports in the VPX 420, which is the load balancer, is divided by the number of virtual web proxy servers X web servers 460 which are web firewalls (WAFs).
웹서버(460)에서는 웹 방화벽(WAF)인 가상 웹 프락시 서버(450)가 프락시(proxy)로 전달해주는 패킷을 각기 다른 웹 방화벽(WAF)에서 보내주도록 구성하면 하나의 웹 방화벽(WAF)가 비정상적인 동작을 수행하면 나머지 웹 방화벽(WAF)이 해당 패킷을 처리하면서 전체 웹서버(460)의 자원을 활용하는 것이 가능하다.When the web server 460 configures the virtual web proxy server 450, which is a web firewall (WAF), to send packets forwarded to the proxy by different web firewalls (WAF), one web firewall (WAF) is abnormal. By performing the operation, it is possible for the rest of the web firewall (WAF) to utilize the resources of the entire web server 460 while processing the packet.
또한 하나의 웹서버가 비정상적인 동작을 수행해도 전체 웹 방화벽(WAF) 및 잔여 웹 서버의 처리에 영향을 주지 않는 Active, Active의 이중화 구성이 가능하다.In addition, even if one web server performs abnormal operation, it is possible to configure active and active redundancy without affecting the processing of the entire web firewall (WAF) and the remaining web servers.
도 5 는 본원 발명의 클라우드 시스템에서의 웹 방화벽 서비스 방법의 흐름도를 보여주는 도면이다.5 is a flowchart illustrating a web firewall service method in a cloud system of the present invention.
본원 발명의 클라우드 시스템에서의 웹 방화벽 서비스 방법은 복수개의 웹서버를 포함하여 이루어진다.Web firewall service method in the cloud system of the present invention comprises a plurality of web servers.
클라우드 시스템에서 가상 머신(VM : Virtual Machine)을 생성하고, 생성된 가상 머신(VM)에 퍼블릭 아이피(Public IP)를 할당하여 가상 라우터(Router VM)를 생성한다(S510).A virtual machine (VM) is created in the cloud system, and a public router (IP) is assigned to the generated virtual machine (VM) to generate a virtual router (Suter).
웹 방화벽을 위한 다른 가상 머신(VM : Virtual Machine)을 생성하고, 생성된 가상 머신(VM)에 제 1 사설(Private) 아이피(IP) 및 가입자별로 서로 다른 포트를 할당하여 가상 프락시 서버를 생성한다(S520).Create a virtual machine (VM) for the web firewall, and create a virtual proxy server by allocating different ports for each first private IP and subscriber to the created virtual machine (VM). (S520).
가상 라우터에서 수신한 패킷을 가상 사설(Private) 아이피(IP) 및 할당된 포트로 포트 포워딩하여 가상 웹 프락시 서버로 전송한다(S530).Port forwarding the packet received from the virtual router to the virtual private IP (IP) and the assigned port is transmitted to the virtual web proxy server (S530).
가상 웹 프락시 서버에서 패킷을 차단하거나 검사하는 프락시 원리를 통해 패킷을 검사한다(S540).The packet is inspected through the proxy principle of blocking or inspecting the packet in the virtual web proxy server (S540).
패킷을 각 웹서버에 할당된 사설(Private) 아이피(IP) 및 포트를 기초로 포트 포워딩한다(S550).The packet is port forwarded based on a private IP and a port allocated to each web server (S550).
가상 웹 프락시 서버의 사설(Private) 아이피(IP) 및 포트의 정보는 가상 라우터(Router VM)에 의해 할당된다.The information of the private IP and the port of the virtual web proxy server is allocated by the virtual router (Router VM).
가상 웹 프락시 서버와 에이피아이(API : application programming interface)로 연동되는 클라우드 스택(Cloud stack);을 더 포함하고,가상 웹 프락시 서버는 가입자가 신청한 서비스 정보를 포함한 에이피아이(API)를 클라우드 스택(Cloud stack)에서 수신하여 가상 웹 프락시 서버의 구성 및 할당 대역폭을 자동으로 설정한다.It further includes a cloud stack (API) linked to the virtual web proxy server and API (API: application programming interface); The virtual web proxy server includes a cloud stack API (Api) including the service information requested by the subscriber Receives from (Cloud stack) and automatically configures the configuration and allocation bandwidth of the virtual web proxy server.
가상 라우터(Router VM)에서 할당된 가상 웹 프락시 서버에 할당되는 사설(Private) 아이피(IP) 및 웹 서버에 할당되는 사설(Private) 아이피(IP)는 유동 아이피(IP)이다.The private IP assigned to the virtual web proxy server assigned in the router VM and the private IP assigned to the web server are floating IPs.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, optimal embodiments have been disclosed in the drawings and the specification. Although specific terms have been used herein, they are used only for the purpose of describing the present invention and are not used to limit the scope of the present invention as defined in the meaning or claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible therefrom. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

Claims (14)

  1. 소정의 퍼블릭 아이피(Public IP)로 패킷을 수신하여 제 1 사설(Private) 아이피(IP) 및 가입자별로 할당된 제 1 포트로 상기 패킷을 전송하는 가상 라우터;A virtual router receiving the packet through a predetermined public IP and transmitting the packet to a first private IP and a first port allocated to each subscriber;
    할당받은 상기 제 1 사설(Private) 아이피(IP) 및 상기 제 1 포트로 포트 포워딩된 상기 패킷을 차단하거나 검사하고 제 2 사설(Private) 아이피(IP) 및 상기 제 1 포트에 대응하는 제 2 포트로 상기 패킷을 전송하는 가상 웹 프락시 서버; 및Blocking or checking the packet forwarded to the assigned first private IP and the first port, and a second port corresponding to a second private IP and the first port A virtual web proxy server for transmitting the packet to the server; And
    상기 제 2 사설(Private) 아이피(IP) 및 상기 제 2 포트로 포트 포워딩된 상기 패킷을 수신하여 웹서비스를 제공하는 웹서버;를 포함하는 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 장치.And a web server configured to provide the web service by receiving the second private IP and the packet port forwarded to the second port.
  2. 제 1 항에 있어서, 상기 가상 라우터 및 상기 가상 웹 프락시 서버는The method of claim 1, wherein the virtual router and the virtual web proxy server
    클라우드 시스템에서의 가상 머신(VM :Virtual Machine)인 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 장치.Web firewall service device in the cloud system, characterized in that the virtual machine (VM) in the cloud system.
  3. 제 2 항에 있어서, 상기 가상 웹 프락시 서버의3. The method of claim 2, wherein the virtual web proxy server
    상기 제 1 사설(Private) 아이피(IP) 및 상기 제 1 포트의 정보는 상기 가상 라우터에 의해 할당되는 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 장치.The first private IP and the information of the first port is assigned by the virtual router, the web firewall service device in the cloud system.
  4. 제 1 항에 있어서,The method of claim 1,
    상기 가상 웹 프락시 서버 및 상기 웹서버는 복수개로 구성되며, 각 가상 웹 프락시 서버는 서로 다른 상기 제 1 사설(Private) 아이피(IP)를, 각 웹서버는 서로 다른 상기 제 2 사설(Private) 아이피(IP)를 할당받는 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 장치.The virtual web proxy server and the web server are configured in plural, each virtual web proxy server having different first private IPs, and each web server having different second private IPs. Web firewall service device in the cloud system, characterized in that the (IP) is assigned.
  5. 제 4 항에 있어서,The method of claim 4, wherein
    상기 가상 웹 프락시 서버와 에이피아이(API : application programming interface)로 연동되는 클라우드 스택(Cloud stack);을 더 포함하고,And a cloud stack interworking with the virtual web proxy server and API (application programming interface).
    상기 가상 웹 프락시 서버는 상기 가입자가 신청한 서비스 정보를 포함한 에이피아이(API)를 상기 클라우드 스택(Cloud stack)에서 수신하여 상기 가상 웹 프락시 서버의 구성 및 할당 대역폭을 자동으로 설정하는 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 장치.The virtual web proxy server receives an API including the service information requested by the subscriber from the cloud stack and automatically configures the configuration and allocated bandwidth of the virtual web proxy server. Web firewall service device in the cloud system.
  6. 제 4 항에 있어서,The method of claim 4, wherein
    상기 제 1 사설(Private) 아이피(IP), 상기 제 2 사설(Private) 아이피(IP)는 유동 아이피(IP)인 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 장치.The first private IP (IP), the second private IP (IP) is a web firewall service device in the cloud system, characterized in that the floating IP (IP).
  7. 제 4 항에 있어서,The method of claim 4, wherein
    상기 가상 웹 프락시 서버 및 상기 웹서버의 개수에 비례하여 상기 패킷의 부하를 분산 처리하는 부하 분산부;를 더 포함하는 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 장치.And a load balancer for distributing the load of the packet in proportion to the number of the virtual web proxy server and the web server.
  8. 복수개의 웹서버를 포함하는 웹 방화벽 서비스 방법에 있어서,In the web firewall service method comprising a plurality of web servers,
    제 1 가상 머신(VM : Virtual Machine)을 생성하고, 상기 제 1 가상 머신(VM)에 퍼블릭 아이피(Public IP)를 할당하여 가상 라우터를 생성하는 가상 라우터 생성 단계;A virtual router creation step of generating a virtual router by creating a first virtual machine and allocating a public IP to the first virtual machine;
    제 2 가상 머신(VM : Virtual Machine)을 생성하고, 상기 2 가상 머신(VM)에 제 1 사설(Private) 아이피(IP) 및 가입자별로 서로 다른 제 1 포트를 할당하여 가상 웹 프락시 서버를 생성하는 가상 웹 프락시 서버 생성 단계;A virtual web proxy server is created by creating a second virtual machine (VM) and assigning different first ports for each first private IP and subscriber to the second virtual machine. Creating a virtual web proxy server;
    상기 가상 라우터에서 수신한 패킷을 상기 1 사설(Private) 아이피(IP) 및 상기 제 1 포트로 포트 포워딩하여 상기 가상 웹 프락시 서버로 전송하는 패킷 전송 단계;Transmitting a packet received by the virtual router to the first private IP and the first port, and forwarding the packet to the virtual web proxy server;
    상기 가상 웹 프락시 서버에서 상기 패킷을 차단하거나 검사하는 패킷 검열단계; 및A packet inspecting step of blocking or inspecting the packet at the virtual web proxy server; And
    상기 패킷을 상기 각 웹서버에 할당된 제 2 사설(Private) 아이피(IP) 및 제 2 포트를 기초로 포트 포워딩하는 웹서버 매핑단계; 를 포함하는 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 방법.A web server mapping step of port forwarding the packet based on a second private IP and a second port assigned to each web server; Web firewall service method in the cloud system comprising a.
  9. 제 8 항에 있어서, 상기 가상 웹 프락시 서버의9. The method of claim 8, wherein the virtual web proxy server
    상기 제 1 사설(Private) 아이피(IP) 및 상기 제 1 포트의 정보는 상기 가상 라우터에 의해 할당되는 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 방법.The information of the first private IP and the first port is allocated by the virtual router.
  10. 제 8 항에 있어서,The method of claim 8,
    상기 가상 웹 프락시 서버는 복수개로 구성되며, 각 가상 웹 프락시 서버는 서로 다른 상기 제 1 사설(Private) 아이피(IP)를, 각 웹서버는 서로 다른 상기 제 2 사설(Private) 아이피(IP)를 할당받는 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 방법.The virtual web proxy server includes a plurality of virtual web proxy servers, each virtual web proxy server having a different first private IP, and each web server having a different second private IP. Web firewall service method in the cloud system, characterized in that the assignment.
  11. 제 10 항에 있어서,The method of claim 10,
    상기 가상 웹 프락시 서버와 에이피아이(API : application programming interface)로 연동되는 클라우드 스택(Cloud stack);을 더 포함하고,And a cloud stack interworking with the virtual web proxy server and API (application programming interface).
    상기 가상 웹 프락시 서버는 상기 가입자가 신청한 서비스 정보를 포함한 에이피아이(API)를 상기 클라우드 스택(Cloud stack)에서 수신하여 상기 가상 웹 프락시 서버의 구성 및 할당 대역폭을 자동으로 설정하는 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 방법.The virtual web proxy server receives an API including the service information requested by the subscriber from the cloud stack and automatically configures the configuration and allocated bandwidth of the virtual web proxy server. Web firewall service method in cloud system.
  12. 제 10 항에 있어서,The method of claim 10,
    상기 제 1 사설(Private) 아이피(IP), 상기 제 2 사설(Private) 아이피(IP)는 유동 아이피(IP)인 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 방법.The first private IP (IP), the second private IP (IP) is a web firewall service method in the cloud system, characterized in that the floating IP (IP).
  13. 제 10 항에 있어서,The method of claim 10,
    부하 분산부에 의해 상기 가상 웹 프락시 서버 및 상기 웹서버의 개수에 비례하여 상기 패킷의 부하를 분산 처리하는 부하 분산단계;를 더 포함하는 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 방법.And a load balancing step of distributing the load of the packet in proportion to the number of the virtual web proxy server and the web server by a load balancer.
  14. 제 13항에 있어서,The method of claim 13,
    상기 가상 웹 프락 서버, 상기 웹서버 및 상기 부하 분산부를 이중화 구조로 구성하는 것을 특징으로 하는 클라우드 시스템에서의 웹 방화벽 서비스 방법.The web firewall service method in the cloud system, characterized in that the virtual web proxy server, the web server and the load balancer configured in a redundant structure.
PCT/KR2012/007147 2011-12-23 2012-09-06 Apparatus and method for a web firewall service in a cloud system WO2013094847A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2011-0141732 2011-12-23
KR1020110141732A KR101342592B1 (en) 2011-12-23 2011-12-23 Web Application Firewall Apparatus and method for Cloud system

Publications (1)

Publication Number Publication Date
WO2013094847A1 true WO2013094847A1 (en) 2013-06-27

Family

ID=48668701

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2012/007147 WO2013094847A1 (en) 2011-12-23 2012-09-06 Apparatus and method for a web firewall service in a cloud system

Country Status (2)

Country Link
KR (1) KR101342592B1 (en)
WO (1) WO2013094847A1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107205008A (en) * 2016-03-18 2017-09-26 上海有云信息技术有限公司 The loaded self-adaptive method of WEB application fire wall under cloud computing environment
CN107426206A (en) * 2017-07-17 2017-12-01 北京上元信安技术有限公司 A kind of protector and method to web server
US10084807B2 (en) 2015-10-16 2018-09-25 Microsoft Technology Licensing, Llc. Detection of bypass vulnerabilities
CN110035060A (en) * 2019-03-07 2019-07-19 北京华安普特网络科技有限公司 The Web firewall of effective anti-hacker attacks
US11057349B2 (en) 2017-11-03 2021-07-06 Todyl, Inc. Cloud-based multi-function firewall and zero trust private virtual network

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102306533B1 (en) * 2015-04-07 2021-09-29 삼성전자주식회사 Method and system for managing proxy server

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002023855A2 (en) * 2000-09-13 2002-03-21 Cosine Communications, Inc. System and method for delivering security services
US20020053034A1 (en) * 2000-11-01 2002-05-02 Nec Corporation Virtual network and virtual network connection system
KR20090065126A (en) * 2007-12-17 2009-06-22 한국전자통신연구원 Method for provisioning of virtual machine using virtual machine disk pool
WO2011080063A1 (en) * 2009-12-31 2011-07-07 International Business Machines Corporation Porting virtual machine images between platforms

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002023855A2 (en) * 2000-09-13 2002-03-21 Cosine Communications, Inc. System and method for delivering security services
US20020053034A1 (en) * 2000-11-01 2002-05-02 Nec Corporation Virtual network and virtual network connection system
KR20090065126A (en) * 2007-12-17 2009-06-22 한국전자통신연구원 Method for provisioning of virtual machine using virtual machine disk pool
WO2011080063A1 (en) * 2009-12-31 2011-07-07 International Business Machines Corporation Porting virtual machine images between platforms

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10084807B2 (en) 2015-10-16 2018-09-25 Microsoft Technology Licensing, Llc. Detection of bypass vulnerabilities
CN107205008A (en) * 2016-03-18 2017-09-26 上海有云信息技术有限公司 The loaded self-adaptive method of WEB application fire wall under cloud computing environment
CN107426206A (en) * 2017-07-17 2017-12-01 北京上元信安技术有限公司 A kind of protector and method to web server
US11057349B2 (en) 2017-11-03 2021-07-06 Todyl, Inc. Cloud-based multi-function firewall and zero trust private virtual network
CN110035060A (en) * 2019-03-07 2019-07-19 北京华安普特网络科技有限公司 The Web firewall of effective anti-hacker attacks

Also Published As

Publication number Publication date
KR20130093714A (en) 2013-08-23
KR101342592B1 (en) 2013-12-17

Similar Documents

Publication Publication Date Title
US10554622B2 (en) Secure application delivery system with dial out and associated method
US10382401B1 (en) Cloud over IP for enterprise hybrid cloud network and security
WO2013094847A1 (en) Apparatus and method for a web firewall service in a cloud system
US7254833B1 (en) Electronic security system and scheme for a communications network
US8458786B1 (en) Automated dynamic tunnel management
US7174378B2 (en) Co-location service system equipped with global load balancing (GLB) function among dispersed IDCS
US11477165B1 (en) Securing containerized applications
WO2020040556A1 (en) Web browser-based scraping system and method
WO2015194885A1 (en) Method and system for detecting failure-inducing client by using client route control system
CN113645213A (en) Multi-terminal network management monitoring system based on VPN technology
CN114942826A (en) Cross-network multi-cluster system, access method thereof and cloud computing equipment
WO2018008933A1 (en) Method for providing virtual cpe service by using single internet line and network function virtualization cloud
WO2015102356A1 (en) Method for selectively allowing or blocking internet access request traffic sharing authorized ip on basis of present time, and system for detecting current state of and blocking authorized ip sharing so as to perform method thereof
WO2018056582A1 (en) Method for inspecting packet using secure sockets layer communication
CN108880966A (en) Enterprise service bus system
Amin et al. Edge-computing with graph computation: A novel mechanism to handle network intrusion and address spoofing in SDN
AU2001245048C1 (en) Electronic security system and scheme for a communications network
O'Brien et al. Intrusion tolerance via network layer controls
WO2023286985A1 (en) Security device user authentication method using cookies
Lewis Virtual private cloud security
KR102040115B1 (en) network fault processing system and method thereof
US20230269217A1 (en) Binding flows to unique addresses or ports
CN111314357B (en) Secure data management system and method thereof
JP7436758B1 (en) Information processing system, information processing method, and information processing program
US20230370492A1 (en) Identify and block domains used for nxns-based ddos attack

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12859397

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12859397

Country of ref document: EP

Kind code of ref document: A1