本发明专利技术涉及防火墙领域,旨在提供一种基于自适应代理机制的HTTP业务防火墙。该种基于自适应代理机制的HTTP业务防火墙包括代理模块、核心控制和安全策略库;代理模块用于接入来自客户端的HTTP访问,获得各项数据传递给核心控制,并在收到核心控制的裁决结论后予以执行;核心控制用于负责调度各个模块的协作、接受各个模块的请求,并更新安全策略库中的数据记录、工作模式、工作方法;安全策略库包括客户端许可策略、客户端会话状态库、起始地址白名单和后续地址白名单。本发明专利技术能减少受保护系统需要考虑的意外访问、意外参数、会话参数检查、用户关联数据等等各种安全方面的检查工作,进而提升系统的安全等级。
【技术实现步骤摘要】
一种基于自适应代理机制的HTTP业务防火墙
本专利技术是关于防火墙领域,特别涉及一种基于自适应代理机制的HTTP业务防火墙。
技术介绍
在防火墙领域中,有最早的基于OSI七层架构的数据链路层、网络层的防火墙,主要对来源和目的进行访问权限控制的防火墙,也有当前最新基于OSI七层架构的应用层,着重基于攻击特征进行检查的应用防火墙。传统的防火墙主要有以下常见技术类型:包过滤防火墙、电路层防火墙、应用层代理防火墙、动态包过滤防火墙、自适应代理防火墙。包过滤防火墙:指工作在网络层,基于以下信息对经过的每一个包进行检查:IP源地址和目标地址、TCP/UDP源端口好和目标端口号、协议(TCP,UDP,ICMP,BGP等等)、ICMP的消息类型、包的大小等等。电路层防火墙:代理型防火墙的一种,工作在传输层;根据数据包的标志位建立一个连接状态表;对于收到的某个IP包,检查它是否属于某一个会话;跟踪一段时间内一个会话中经过包的总数。应用层代理防火墙:工作在应用层;针对特定协议,比如telnet,http,smtp,pop等可以支持身份认证功能;除了基于地址、协议、端口的控制以外,还可以支持应用层命令的过滤,比如FTP的GET,PUT等。动态包过滤防火墙:具备包过滤防火墙的基本特征,另外具备以下特征:通过包的属性和维护一份连接表来监视通信会话的状态而不是简单依靠标志的设置;针对传输层的,所以选择动态包过滤时,要保证防火墙可以维护用户将要使用的所有传输的状态,如TCP,UDP,ICMP等。;与普通(静态)包过滤防火墙相比,动态包的过滤规则时基于会话。自适应代理防火墙:综合了包过滤与代理服务器防火墙的有点,其包过滤规则是动态、基于会话的,并且可以在运行过程中动态调整包过滤器的过滤规则,在进行过滤检查时,可以基于会话的不同,采用不同标准的过滤规则。HTTP(超文本传输协议HTTP-Hypertexttransferprotocol),是当前诸多IT行业的业务系统的主流的一种操作通讯协议。HTTP协议中,具备两个标准的概念:URL(URL:UniformResourceLocator的缩写,译为“统一资源定位符”,例如:“http://www.bank.com/login?UserId=1001&Pass=123456”);URI(UniformResourceIdentifier的缩写,译为“通用资源标识符”,对应URL范例的URI的值为:“http://www.bank.com/login”)。HTML(超文本标记语言HyperTextMarkuplanguage),是目前使用最广泛的一种页面定义语言,具体详情可参见RFC(RequestForComments,是一系列以编号排定的文件,基本的因特网通讯协定都有在RFC文件内详细说明)的相关规范。HTML文档是由HTML元素定义的,HTML元素指的是从开始标签(starttag,比如:<p>、<ahref="default.htm">)到结束标签(endtag,比如:</p>、</a>)的所有代码。HTML链接,HTML使用超级链接与网络上的另一个文档相连。几乎可以在所有的网页中找到链接。点击链接可以从一张页面跳转到另一张页面。点击链接将按照链接所指的URL,向服务端发起访问。比如:“<ahref="http://www.w3school.com.cn/">VisitW3School</a>”就定义了一个指向到"http://www.w3school.com.cn/"的链接,“<ahref="http://www.w3school.com.cn/"><imgborder="0"src="./images/NextPage.GIF"></a>”也定义了一个指向到"http://www.w3school.com.cn/"的链接。业务防火墙,这是一个新概念,因为每个客户的业务都存在较大的差异,难以形成标准化的检查规则,且因为业务防火墙的概念刚刚在近两年起步,目前业内尚没有此方面的成熟或者典型产品。
技术实现思路
本专利技术的主要目的在于克服现有技术中的不足,提供一种以客户端会话关联、自适应白名单规则、代理访问的机制、模式为防护核心的新一代防火墙技术。为解决上述技术问题,本专利技术的解决方案是:提供一种基于自适应代理机制的HTTP业务防火墙,用于防御来自客户端的对受保护的业务系统的攻击访问,所述基于自适应代理机制的HTTP业务防火墙包括代理模块、核心控制和安全策略库;所述代理模块用于接入来自客户端的HTTP访问,然后根据访问发生的时刻,提取当前访问时间,以及根据HTTP协议规范(RFC1945、RFC2616),提取访问的来源IP和端口、访问的目标地址、Request(请参见RFC2616的HTTPMessage定义中的Request定义);代理模块再将获得的各项数据(访问来源IP和端口、访问的目标地址、Request)传递给核心控制,等待核心控制的裁决,并在收到裁决结论后,代理模块根据裁决结论予以执行;其中,裁决结论包括放行、监控、警告、拦截;若代理模块收到放行,即检查通过的结论后,代理模块将当前会话的Request代理发送给受保护的业务系统后,等待接收业务系统对转发的Request的回应内容Response(回应内容即作为发给客户端作为响应内容),并对回应内容Response的message-body(请参见RFC2616的HTTPMessage定义中的Response定义)按照HTML语言(HyperTextMarkupLanguage)进行解析,获得回应内容中的可访问链接;所述核心控制是HTTP业务防火墙的控制中心,用于负责调度各个模块的协作、接受各个模块的请求,并更新安全策略库中的数据记录、工作模式、工作方法;核心控制能提取代理模块传递的HTTP访问的数据,HTTP访问的数据包括来源IP、来源端口、目的IP、目的端口、HTTP请求的URL、HTTP请求的HEADER、HTTP请求的BODY,调用客户端许可策略对客户端来源(来源IP、来源端口)进行检查:若客户端的检查结论为不安全,根据结论的不同风险级别,命令代理模块对该次访问进行拦截处理,不进入后续检查步骤;若客户端的检查结论为安全,则继续调用客户端会话状态库对客户端状态进行检查,对于客户端来源信息(来源IP、SessionID)已经处于客户端会话状态库的数据记录中的会话,作为已有会话,否则作为新会话;若判断为新会话,则将当前请求的HTTP访问的数据传递给起始地址白名单进行检查,检查通过,就将该新会话加入客户端会话状态库,由代理模块将该请求代理发送给受保护的业务系统,并继续整个流程处理;若判断为已有会话,则将当前请求的HTTP访问的数据传递给起始地址白名单和后续地址白名单,由两个模块分别进行检查,若其中任何一个模块的检查结论为通过的,由代理模块将该请求代理发送给受保护的业务系统,并继续整个流程处理;否则按照拦截的结论进行处理;所述安全策略库包括子模块:客户端许可策略、客户端会话状态库、起始地址白名单和后续地址白名单本文档来自技高网...
【技术保护点】
一种基于自适应代理机制的HTTP业务防火墙,用于防御来自客户端的对受保护的业务系统的攻击访问,其特征在于,所述基于自适应代理机制的HTTP业务防火墙包括代理模块、核心控制和安全策略库;所述代理模块用于接入来自客户端的HTTP访问,然后根据访问发生的时刻,提取当前访问时间,以及根据HTTP协议规范,提取访问的来源IP和端口、访问的目标地址、Request;代理模块再将获得的各项数据传递给核心控制,等待核心控制的裁决,并在收到裁决结论后,代理模块根据裁决结论予以执行;其中,裁决结论包括放行、监控、警告、拦截;若代理模块收到放行,即检查通过的结论后,代理模块将当前会话的Request代理发送给受保护的业务系统后,等待接收业务系统对转发的Request的回应内容Response,并对回应内容Response的message‑body按照HTML语言进行解析,获得回应内容中的可访问链接;所述核心控制是HTTP业务防火墙的控制中心,用于负责调度各个模块的协作、接受各个模块的请求,并更新安全策略库中的数据记录、工作模式、工作方法;核心控制能提取代理模块传递的HTTP访问的数据,HTTP访问的数据包括来源IP、来源端口、目的IP、目的端口、HTTP请求的URL、HTTP请求的HEADER、HTTP请求的BODY,调用客户端许可策略对客户端来源进行检查:若客户端的检查结论为不安全,根据结论的不同风险级别,命令代理模块对该次访问进行拦截处理,不进入后续检查步骤;若客户端的检查结论为安全,则继续调用客户端会话状态库对客户端状态进行检查,对于客户端来源信息已经处于客户端会话状态库的数据记录中的会话,作为已有会话,否则作为新会话;若判断为新会话,则将当前请求的HTTP访问的数据传递给起始地址白名单进行检查,检查通过,就将该新会话加入客户端会话状态库,由代理模块将该请求代理发送给受保护的业务系统,并继续整个流程处理;若判断为已有会话,则将当前请求的HTTP访问的数据传递给起始地址白名单和后续地址白名单,由两个模块分别进行检查,若其中任何一个模块的检查结论为通过的,由代理模块将该请求代理发送给受保护的业务系统,并继续整个流程处理;否则按照拦截的结论进行处理;所述安全策略库包括子模块:客户端许可策略、客户端会话状态库、起始地址白名单和后续地址白名单,且安全策略库记录有HTTP业务防火墙的初始化数据,包括客户端许可策略的初始化数据、起始地址白名单的初始化数据;安全策略库用于接受核心控制调度,实现下述功能:按照核心控制的调度,调整客户端对应的客户端会话状态数据和后续地址白名单,且允许在线维护、更新客户端许可策略和起始地址白名单的数据;按照核心控制的调度,根据客户端及对应的相关策略,进行相应的安全检查,并返回裁决结论给核心控制;所述客户端许可策略是描述HTTP业务防火墙允许接入的客户端的许可策略,且只有列入许可策略的来源,方才允许接入,否则将被拦截;许可策略中包括客户端来源;所述客户端会话状态库用于保存HTTP业务防火墙允许进入的客户端的规则,且允许进入的客户端的规则以白名单的方式列出了允许接入受保护系统的客户端的清单;每条允许进入的客户端的规则指定了受保护系统的地址、代理模块的接入地址、允许进入的客户端来源;所述起始地址白名单由起始地址白名单规则组成,起始地址白名单规则能实现下述功能:接受核心控制的调度,能查询、增加、删除该客户端对应的起始地址规则;接受核心控制的调度,检查该客户端在当前会话状态时,是否有权以起始地址的方式访问该起始地址;其中,起始地址白名单规则包括客户端条件、客户端会话状态条件、起始地址;所述后续地址白名单由后续地址白名单规则组成,后续地址白名单规则能实现下述功能:接受核心控制的调度,能查询、增加、删除该客户端对应的后续地址规则;接受核心控制的调度,检查该客户端在当前会话状态时,是否有权以后续地址的方式访问该后续地址;其中,后续地址白名单规则包括客户端条件、客户端会话状态条件、后续地址。...
【技术特征摘要】
1.一种基于自适应代理机制的HTTP业务防火墙,用于防御来自客户端的对受保护的业务系统的攻击访问,其特征在于,所述基于自适应代理机制的HTTP业务防火墙包括代理模块、核心控制和安全策略库;所述代理模块用于接入来自客户端的HTTP访问,然后根据访问发生的时刻,提取当前访问时间,以及根据HTTP协议规范,提取访问的来源IP和端口、访问的目标地址、Request;代理模块再将获得的各项数据传递给核心控制,等待核心控制的裁决,并在收到裁决结论后,代理模块根据裁决结论予以执行;其中,裁决结论包括放行、监控、警告、拦截;若代理模块收到放行,即检查通过的结论后,代理模块将当前会话的Request代理发送给受保护的业务系统后,等待接收业务系统对转发的Request的回应内容Response,并对回应内容Response的message-body按照HTML语言进行解析,获得回应内容中的可访问链接;所述核心控制是HTTP业务防火墙的控制中心,用于负责调度各个模块的协作、接受各个模块的请求,并更新安全策略库中的数据记录、工作模式、工作方法;核心控制能提取代理模块传递的HTTP访问的数据,HTTP访问的数据包括来源IP、来源端口、目的IP、目的端口、HTTP请求的URL、HTTP请求的HEADER、HTTP请求的BODY,调用客户端许可策略对客户端来源进行检查:若客户端的检查结论为不安全,根据结论的不同风险级别,命令代理模块对该次不安全访问进行拦截处理,不进入后续检查步骤;若客户端的检查结论为安全,则继续调用客户端会话状态库对客户端状态进行检查,对于客户端来源信息已经处于客户端会话状态库的数据记录中的会话,作为已有会话,否则作为新会话;若判断为新会话,则将当前请求的HTTP访问的数据传递给起始地址白名单进行检查,检查通过,就将该新会话加入客户端会话状态库,由代理模块将该请求代理发送给受保护的业务系统,并继续整个流程处理;若判断为已有会话,则将当前请求的HTTP访问的数据传递给起始地址白名单和后续地址白名单,由两个模块分别进行检查,若其中任何一个模块的检查结论为通过的,由代理模块将该请求代理发送给受保护的业务系统,并继续整个流程处理;否则按照拦截的结论进行处理;所述安全策略库包括子模块:客户端许可策略、客户端会话状态库、起始地址白名单和后续地址白名单,且安全策略库记录有HTTP业务防火墙的初始化数据,包括客户端许可策略的初始化数据、起始地址白名单的初始化数据;安全策略库用于接受核心控制调度,实现下述功能:按照核心控制的调度,调整客户端对应的客户端会话状态数据和后续地址白名单,且允许在线维护、更新客户端许可策略和起始地址白名单的数据;按照核心控制的调度,根据客户端及对应的相关策略,进行相应的安全检查,并返回裁决结论给核心控制;所述客户端许可策略是描述HTTP业务防火墙允许接入的客户端的许可策略,且只有列入许可策略的来源,方才允许接入,否则将被拦截;许可策略中包括客户端来源;所述客户端会话状态库用于保存HTTP业务防火墙允许进入的客户端的规则,且允许进入的客户端的规则以白名单的方式列出了允许接入受保护系统的客户端的清单;每条允许进入的客户端的规则指定了受保护系统的地址、代理模块的接入地址、允许进入的客户端来源;所述起始地址白名单由起始地址白名单规则组成,起始地址白名单规则能实现下述功能:接受核心控制的调度,能查询、增加、删除该客户端对应的起始地址规则;接受核心控制的调度,检查该客户端在当前会话状态时,是否有权以起始地址的方式访问该起始地址;其中,起始地址白名单规...
【专利技术属性】
技术研发人员:王锦龙,范渊,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。