一种对web服务器的防护装置和方法制造方法及图纸

本发明专利技术涉及对web服务器的防护装置和方法，其中装置包括：WAF集群，创建并运行在Kubernetes容器群集管理系统中，WAF集群包括若干个节点，每个节点上运行有反向代理程序和WAF；反向代理程序，用于将当前节点接收的web访问报文分发至web访问报文所要访问的web服务器所对应的WEB应用防火墙；WAF用于接收反向代理程序发送的web访问报文，并对接收的web访问报文进行安全检测，确认安全后将web访问报文发送至对应的web服务器。本发明专利技术的WEB应用防火墙群集创建并运行在Kubernetes容器群集管理系统中，利用了Kubernetes容器群集管理系统是以集群的方式运行、管理跨机器的容器，因此，本发明专利技术能够动态的创建节点，从而使得WEB应用防火墙能够实现弹性扩展和避免单点故障。

A protective device and method for web server

The invention relates to a protective device and method for web server, wherein the apparatus includes a WAF cluster, create and run in the Kubernetes container cluster management system, WAF cluster includes a plurality of nodes, each node runs on the reverse proxy program and WAF; the reverse proxy program, corresponding to the current node for receiving web access message to access the web message to visit the web server WEB application firewall; WAF for receiving the reverse proxy program sends a web access message, and test the safety of web to access the message receive, confirm the safety of the web to access the message to the corresponding web server. The invention of the WEB application firewall cluster to create and run in the Kubernetes container cluster management system, use the Kubernetes container cluster management system is based on cluster mode of operation and management of cross machine container, therefore, the invention can create a dynamic node, which makes the WEB application firewall can realize the elastic expansion and avoid single point of failure.

【技术实现步骤摘要】
一种对web服务器的防护装置和方法
本专利技术涉及互联网领域、物联网领域、云计算和云服务安全领域，尤其涉及一种对web服务器的防护装置和方法。
技术介绍
随着网络技术的不断发展，如电子商务、网上银行、电子政务的盛行，web服务器承载的业务价值越来越高，web服务器所面临的安全威胁也越来越大。因此，针对web服务器应用层的防御成为必然趋势。现有技术中，已经存在了专门针对web服务器应用层的攻击的防火墙：WEB应用防火墙。在云计算、云存储等云服务领域中，通常在通用的操作系统(例如：CentOS、Redhat、Fedora、Ubuntu等)中安装WEB应用防火墙防止针对web服务器的攻击。这种WEB应用防火墙安装模式，有以下缺点：1、由于将WEB应用防火墙安装在通用的操作系统中，因此，WEB应用防火墙无法根据需要动态创建，导致WEB应用防火墙无法实现弹性扩展，当WEB应用防火墙需要防护的流量超出性能限制之后，WEB应用防火墙无法正常工作。2、由于一个WEB应用防火墙负责守护一台Web服务器，且WEB应用防火墙无法动态创建，导致WEB应用防火墙无法避免单点故障，当WEB应用防火墙出现故障的时候，Web服务器无法正常访问。
技术实现思路
(一)专利技术目的本专利技术的目的是提供一种对web服务器的防护装置和方法。(二)技术方案为解决上述问题，本专利技术的第一方面提供了一种对web服务器的防护装置，包括：WEB应用防火墙集群，创建并运行在Kubernetes容器群集管理系统中，所述WEB应用防火墙集群包括若干个节点，每个节点上运行有反向代理程序和WEB应用防火墙；所述反向代理程序，用于将当前节点接收的web访问报文分发至所述web访问报文所要访问的web服务器所对应的WEB应用防火墙；所述WEB应用防火墙，用于接收所述反向代理程序发送的web访问报文，并对接收的web访问报文进行安全检测，确认安全后将web访问报文发送至对应的web服务器。进一步，所述的防护装置，其中，所述WEB应用防火墙集群还包括节点管理模块master；所述节点管理模块master，用于检测所述若干个节点的健康状况，并当检测到某个节点发生故障时，在其他节点上创建新的WEB应用防火墙，并将发生故障的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。进一步，所述的防护装置，其中，所述节点管理模块master，还用于监测所述若干个节点的流量，并当监测到某个节点的流量超过预设阈值时，在其他节点上创建一个新的WEB应用防火墙，并将流量超过预设阈值的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。进一步，所述的防护装置，还包括：负载均衡设备，所述负载均衡设备用于接收web端发送的web访问报文，并根据预设的负载均衡调度算法将接收的web访问报文分发至各个所述节点。进一步，所述的防护装置，其中，所述反向代理程序，包括：域名获取模块，用于从所述web访问报文中提取要访问的web服务器的域名；匹配模块，用于在预设的web服务器域名与web应用防火墙域名对应表中找到与所述要访问的web服务器的域名所对应的web应用防火墙的域名；分发模块，根据找到的web应用防火墙的域名，将web访问请求分发至web应用防火墙。本专利技术还提供了一种对web服务器的防护方法，应用于前述任一项所述的防护装置，所述防护方法包括:S1，反向代理程序接收web访问报文，并将所述web访问报文分发至所述web访问报文所要访问的web服务器所对应的WEB应用防火墙；S2，WEB应用防火墙接收web访问报文，并对web访问报文进行安全检测，确认安全后将web访问报文发送至对应的web服务器。进一步，所述的防护方法，还包括：检测所述若干个节点的健康状况，并当检测到某个节点发生故障时，在其它节点创建一个新的Web应用防火墙，并将发生故障的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。进一步，所述的防护方法，还包括：监测所述若干个节点的流量，并当监测到某个节点的流量超过预设阈值时，在其它节点创建一个新的Web应用防火墙，并将流量超过预设阈值的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。进一步，所述的防护方法，其中，在所述反向代理程序接收web访问报文之前，还包括：负载均衡设备接收web端发送的web访问报文，并根据预设的负载均衡调度算法将所述web访问报文发送至各个节点。进一步，所述的防护方法，其中，所述步骤S1包括：从所述web访问报文中提取要访问的web服务器的域名；在预设的web服务器域名与web应用防火墙域名对应表中找到与所述要访问的web服务器的域名所对应的web应用防火墙的域名；根据找到的web应用防火墙的域名，将web访问请求分发至web应用防火墙。(三)有益效果本专利技术的上述技术方案具有如下有益的技术效果：本专利技术的WEB应用防火墙群集创建并运行在Kubernetes容器群集管理系统中，利用了Kubernetes容器群集管理系统是以集群的方式运行、管理跨机器的容器，因此，本专利技术能够动态的创建节点，当检测到某个节点发生故障时，在其它节点创建一个新的Web应用防火墙，并将发生故障的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。监测到某个节点的流量超过预设阈值时，在其它节点创建一个新的Web应用防火墙，并将流量超过预设阈值的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。从而使得WEB应用防火墙能够实现弹性扩展和避免单点故障。附图说明图1是本专利技术对web服务器的防护装置的拓扑结构图；图2是本专利技术对web服务器的防护方法的步骤流程图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本专利技术进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本专利技术的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本专利技术的概念。术语解释：Web应用防火墙，又名WAF，英文名称为WebApplicationFirewall，WAF用以解决诸如防火墙一类传统安全设备无法解决的Web应用安全问题。是一种专门针对Web服务器进行深度防护的设备，一般具有异常输入检查、输入验证、防篡改、自学习等功能。在实际应用中，为了节省资源和成本，可以在一个物理机上虚拟出若干个虚拟Web服务器，供不同客户使用。此外，为了保证虚拟Web服务器的安全，在同一个物理机中还可以虚拟出一个或者若干虚拟WAF，以便对数据请求进行过滤与清洗。Kubernetes是Google开源的容器集群管理系统，其提供应用部署、维护、扩展机制等功能，利用Kubernetes能够方便地管理跨机器运行的容器化的应用，其主要功能包括如下几个方面：(1)使用容器引擎Docker对应用程序进行包装、实例化、运行等操作。(2)以集群的方式运行、管理跨机器的容器。(3)解决Docker跨机器容器之间的通讯问题。图1是本专利技术对web服务器的防护装置的拓扑结构图。如图1所示，在本专利技术实施例中，对web服务器的防护装置包括：WEB应用防火墙集群。所述WEB应用防火墙集群创建并运行在Kubernetes容器群集管理系统中，所述WEB应用防火墙集群包本文档来自技高网...

【技术保护点】
一种对web服务器的防护装置，其特征在于，包括：WEB应用防火墙集群，创建并运行在Kubernetes容器群集管理系统中，所述WEB应用防火墙集群包括若干个节点，每个节点上运行有反向代理程序和WEB应用防火墙；所述反向代理程序，用于将当前节点接收的web访问报文分发至所述web访问报文所要访问的web服务器所对应的WEB应用防火墙；所述WEB应用防火墙，用于接收所述反向代理程序发送的web访问报文，并对接收的web访问报文进行安全检测，确认安全后将web访问报文发送至对应的web服务器。

【技术特征摘要】
1.一种对web服务器的防护装置，其特征在于，包括：WEB应用防火墙集群，创建并运行在Kubernetes容器群集管理系统中，所述WEB应用防火墙集群包括若干个节点，每个节点上运行有反向代理程序和WEB应用防火墙；所述反向代理程序，用于将当前节点接收的web访问报文分发至所述web访问报文所要访问的web服务器所对应的WEB应用防火墙；所述WEB应用防火墙，用于接收所述反向代理程序发送的web访问报文，并对接收的web访问报文进行安全检测，确认安全后将web访问报文发送至对应的web服务器。2.根据权利要求1所述的防护装置，其中，所述WEB应用防火墙集群还包括节点管理模块master；所述节点管理模块master，用于检测所述若干个节点的健康状况，并当检测到某个节点发生故障时，在其他节点上创建新的WEB应用防火墙，并将发生故障的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。3.根据权利要求2所述的防护装置，其中，所述节点管理模块master，还用于监测所述若干个节点的流量，并当监测到某个节点的流量超过预设阈值时，在其他节点上创建新的WEB应用防火墙，并将流量超过预设阈值的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。4.根据权利要求1所述的防护装置，还包括：负载均衡设备，所述负载均衡设备用于接收web端发送的web访问报文，并根据预设的负载均衡调度算法将接收的web访问报文分发至各个所述节点。5.根据权利要求1-4任一项所述的防护装置，其中，所述反向代理程序，包括：域名获取模块，用于从所述web访问报文中提取要访问的web服务器的域名；匹配模块，用于在预设的web服务器域名与web应用防火墙域名对应表中找到与所述要访问的w...

【专利技术属性】
技术研发人员：崔涛涛，
申请(专利权)人：北京上元信安技术有限公司，
类型：发明
国别省市：北京,11