本发明专利技术公开了一种基于虚拟WAF的流量控制方法、装置及系统,涉及数据安全技术领域,能够在实现数据安全过滤的情况下,有效防止虚拟WAF因数据流量过大而瘫痪。本发明专利技术的方法主要包括:在使用虚拟Web应用防火墙WAF过滤客户端发送的数据流量的过程中,根据云开启触发条件,生成云开启指令,所述云开启指令中携带有流量牵引策略;根据所述云开启指令,通过调用内嵌的网站云安全管控平台的管理界面的接口,开启所述网站云安全管控平台;通过所述虚拟WAF的宿主机将所述流量牵引策略发送给域名解析服务器,以便所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。本发明专利技术主要适用于基于虚拟WAF进行数据安全防护的场景中。
【技术实现步骤摘要】
本专利技术涉及数据安全
,特别是涉及一种基于虚拟WAF的流量控制方法、装置及系统。
技术介绍
WAF(WebApplicationFirewall,Web应用防护防火墙)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统安全设备无法解决的Web应用安全问题。网站云安全管控平台可以对网站进行安全云防护,其中包括Web入侵防护、DDoS(DistributedDenialofservice,分布式拒绝服务)防护、CC(ChallengeCollapsar)防护、DNS(DomainNameSystem,域名系统)防护等,能够确保网站在保护下不被入侵和攻击瘫痪。在实际应用中,为了节省资源和成本,可以在一个物理机上虚拟出若干个虚拟网站服务器,供不同客户使用。此外,为了保证虚拟网站服务器的安全,在同一个物理机中还可以虚拟出一个或者若干虚拟WAF,以便对数据请求进行过滤与清洗。在现有技术中,由于网站云安全管控平台是云服务,对于企业来说是不可见的,而虚拟WAF的宿主机是放置在企业内部的硬件设备,对企业来说是可见的,所以考虑到数据的安全性,企业往往优先考虑使用虚拟WAF进行安全防护。然而,当网站遭受攻击时,往往会产生大量的数据请求,由于虚拟WAF的负载能力有限,所以若存在大量的数据请求需要虚拟WAF过滤,则很可能会使得虚拟WAF瘫痪。为了防止虚拟WAF瘫痪,现有的实现方式是让运营商增加带宽,从而尽量使得虚拟WAF过滤所有的数据请求。但是,让运营商增加带宽,不仅操作繁琐,而且操作效率也十分低下,从而无法有效地防止虚拟WAF瘫痪问题。
技术实现思路
有鉴于此,本专利技术提供的基于虚拟WAF的流量控制方法、装置及系统,能够在实现数据安全过滤的情况下,有效防止虚拟WAF因数据流量过大而瘫痪。本专利技术的目的是采用以下技术方案来实现的:第一方面,本专利技术提供了一种基于虚拟WAF的流量控制方法,所述方法应用于虚拟WAF侧,所述方法包括:在使用虚拟Web应用防火墙WAF过滤客户端发送的数据流量的过程中,根据云开启触发条件,生成云开启指令,所述云开启指令中携带有流量牵引策略;根据所述云开启指令,通过调用内嵌的网站云安全管控平台的管理界面的接口,开启所述网站云安全管控平台;通过所述虚拟WAF的宿主机将所述流量牵引策略发送给域名解析服务器,以便所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。第二方面,本专利技术提供了一种基于虚拟WAF的流量控制方法,所述方法应用于域名解析服务器侧,所述方法包括:接收虚拟Web应用防火墙WAF发送的流量牵引策略,所述流量牵引策略是所述虚拟WAF生成用于指示开启网站云安全管控平台的云开启指令时生成的,所述网站云安全管控平台的管理界面内嵌于所述虚拟WAF中;根据所述流量牵引策略将客户端发送的数据流量牵引至网站云安全管控平台进行过滤。第三方面,本专利技术提供了一种基于虚拟WAF的流量控制装置,所述装置应用于虚拟WAF侧,所述装置包括:生成单元,用于在使用虚拟Web应用防火墙WAF过滤客户端发送的数据流量的过程中,根据云开启触发条件,生成云开启指令,所述云开启指令中携带有流量牵引策略;开启单元,用于根据所述生成单元生成的所述云开启指令,通过调用内嵌的网站云安全管控平台的管理界面的接口,开启所述网站云安全管控平台;发送单元,用于通过所述虚拟WAF的宿主机将所述流量牵引策略发送给域名解析服务器,以便所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。第四方面,本专利技术提供了一种基于虚拟WAF的流量控制装置,所述装置应用于域名解析服务器侧,所述装置包括:接收单元,用于接收虚拟Web应用防火墙WAF发送的流量牵引策略,所述流量牵引策略是所述虚拟WAF生成用于指示开启网站云安全管控平台的云开启指令时生成的,所述网站云安全管控平台的管理界面内嵌于所述虚拟WAF中;牵引单元,用于根据所述接收单元接收的所述流量牵引策略将客户端发送的数据流量牵引至网站云安全管控平台进行过滤。第五方面,本专利技术提供了一种基于虚拟WAF的流量控制系统,所述系统包括虚拟Web应用防火墙WAF以及域名解析服务器;其中所述虚拟WAF包括如第三方面所述的装置;所述域名解析服务器包括如第四方面所述的装置。借由上述技术方案,本专利技术提供的基于虚拟WAF的流量控制方法、装置及系统,能够将网站云安全管控平台的管理界面内嵌入虚拟WAF当中,在使用虚拟WAF过滤客户端发送的数据流量的过程中,可以根据具体需求(例如虚拟WAF负载超过阈值时),来通过调用内嵌的网站云安全管控平台的管理界面的接口开启网站云安全管控平台,并通过宿主机通知域名解析服务器进行流量牵引操作,从而可以使得网站云安全管控平台为虚拟WAF分担数据流量,并对数据流量进行安全过滤,由此使得虚拟WAF需要过滤的数据流量不会超过其负载能力,进而避免因数据流量过大而导致虚拟WAF瘫痪。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了本专利技术实施例提供的一种基于虚拟WAF的流量控制方法的流程图;图2示出了本专利技术实施例提供的另一种基于虚拟WAF的流量控制方法的流程图;图3示出了本专利技术实施例提供的另一种基于虚拟WAF的流量控制方法的流程图;图4示出了本专利技术实施例提供的一种基于虚拟WAF的流量控制装置的组成框图;图5示出了本专利技术实施例提供的另一种基于虚拟WAF的流量控制装置的组成框图;图6示出了本专利技术实施例提供的另一种基于虚拟WAF的流量控制装置的组成框图;图7示出了本专利技术实施例提供的另一种基于虚拟WAF的流量控制装置的组成框图;图8示出了本专利技术实施例提供的一种基于虚拟WAF的流量控制系统的结构示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。为了防止客户端访问的数据流量过大而导致虚拟WAF瘫痪,本专利技术实施例提供了一种基于虚拟WAF的流量控制方法,所述方法主要应用于虚拟WAF侧,如图1所示,所述方法主要包括:101、在使用虚拟WAF过滤客户端发送的数据流量的过程中,根据云开启触发条件,生成云开启指令。其中,云开启触发条件可以为管理人员手动触发,也可以为虚拟WAF自动触发,其具体触发方式在此不做限定。无论是管理人员进行手动触发,还是虚拟WAF进行自动触发,其触发云开启的目的主要是为了减轻虚拟WAF当前的负载量,防止虚拟WAF因大流量负载而导致系统瘫痪。此外,云开启指令中携带有流量牵引策略。在实际应用中流量牵引策略主要可以为:将所述客户端发送的所有数据流量牵引至所述网站云安全管控平台;也本文档来自技高网...
【技术保护点】
一种基于虚拟WAF的流量控制方法,所述方法应用于虚拟WAF侧,其特征在于,所述方法包括:在使用虚拟Web应用防火墙WAF过滤客户端发送的数据流量的过程中,根据云开启触发条件,生成云开启指令,所述云开启指令中携带有流量牵引策略;根据所述云开启指令,通过调用内嵌的网站云安全管控平台的管理界面的接口,开启所述网站云安全管控平台;通过所述虚拟WAF的宿主机将所述流量牵引策略发送给域名解析服务器,以便所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。
【技术特征摘要】
1.一种基于虚拟WAF的流量控制方法,所述方法应用于虚拟WAF侧,其特征在于,所述方法包括:在使用虚拟Web应用防火墙WAF过滤客户端发送的数据流量的过程中,根据云开启触发条件,生成云开启指令,所述云开启指令中携带有流量牵引策略;根据所述云开启指令,通过调用内嵌的网站云安全管控平台的管理界面的接口,开启所述网站云安全管控平台;通过所述虚拟WAF的宿主机将所述流量牵引策略发送给域名解析服务器,以便所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。2.根据权利要求1所述的方法,其特征在于,所述根据云开启触发条件,生成云开启指令包括:当接收到输入的用于指示开启所述网站云安全管控平台的操作信息后,生成所述云开启指令;或者,检测所述虚拟WAF当前的资源占用率是否达到预设阈值,并在所述资源占用率达到所述预设阈值时,生成所述云开启指令。3.根据权利要求1所述的方法,其特征在于,在所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤之后,所述方法还包括:通过所述宿主机接收所述网站云安全管控平台发送的过滤后的数据流量;对接收到的数据流量进行二次过滤。4.根据权利要求1所述的方法,其特征在于,在所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤之后,所述方法还包括:根据云关闭触发条件,生成云关闭指令;根据所述云关闭指令,通过调用内嵌的网站云安全管控平台的管理界面的接口,关闭所述网站云安全管控平台;通过所述宿主机将流量牵引停止指令发送给所述域名解析服务器,以便所述域名解析服务器停止将所述客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。5.根据权利要求4所述的方法,其特征在于,所述根据云关闭触发条件,生成云关闭指令包括:当接收到输入的用于指示关闭所述网站云安全管控平台的操作信息后,生成所述云关闭指令;或者,根据所述网站云安全管控平台反馈的数据流量处理信息和/或所述虚拟WAF当前的资源占用率,生成所述云关闭指令。6.根据权利要求...
【专利技术属性】
技术研发人员:王嘉,
申请(专利权)人:北京奇虎科技有限公司,北京奇安信科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。