本发明专利技术提供一种基于WEB应用防火墙过载的安全防护方法、装置及电子设备,涉及信息安全技术领域,基于WEB应用防火墙过载的安全防护方法,包括:监控WEB应用防火墙的系统资源;根据系统资源的使用状态,判断导致系统资源异常的目标业务处理模块;目标业务处理模块包括:网桥模块及WEB代理模块中至少一种;向与目标业务处理模块对应的bypass接口发送调整指令,以使bypass接口对超出WEB应用防火墙处理能力的部分流量进行放行。本发明专利技术通过监控系统资源使用情况,在资源耗尽之前,对相应的业务处理模块的bypass接口进行调整,从而将超出处理能力的部分WEB流量放行至服务器,能够消除WEB应用防火墙性能问题对客户WEB业务的影响。
【技术实现步骤摘要】
基于WEB应用防火墙过载的安全防护方法、装置及电子设备
本专利技术涉及信息安全
,尤其是涉及一种基于WEB应用防火墙过载的安全防护方法、装置及电子设备。
技术介绍
WEB应用防火墙作为一个串接在用户网络中的网关型设备,自身的性能问题越来越受到重视,其性能不足已经是WEB应用防火墙影响WEB业务正常性的主要因素。当客户面临业务高峰或者被人DDOS(Distributeddenialofserviceattack,分布式拒绝服务攻击)攻击时,由于WEB应用防火墙节点性能不足,常常会造成业务中断的严重事件发生,影响客户的WEB业务。针对上述技术问题,目前还没有有效的解决方法。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种基于WEB应用防火墙过载的安全防护方法、装置及电子设备,能够通过监控系统资源使用情况,在资源耗尽之前,将超出处理能力的部分WEB流量放行至服务器,消除WEB应用防火墙性能问题对客户WEB业务的影响。第一方面,本专利技术实施例提供了一种基于WEB应用防火墙过载的安全防护方法,包括:监控WEB应用防火墙的系统资源;根据系统资源的使用状态,判断导致系统资源异常的目标业务处理模块;目标业务处理模块包括:网桥模块及WEB代理模块中至少一种;向与目标业务处理模块对应的bypass接口发送调整指令,以使bypass接口对超出WEB应用防火墙处理能力的部分流量进行放行。结合第一方面,本专利技术实施例提供了第一方面的第一种可能的实施方式,其中,根据系统资源的使用状态,判断导致系统资源异常的目标业务处理模块为网桥模块的步骤,包括:获取系统资源的指标值;指标值至少包括以下之一:并发连接数、新建连接速率、吞吐量;当指标值中至少一项超过相应的预设阈值时,判断导致系统资源异常的目标业务处理模块为网桥模块。结合第一方面,本专利技术实施例提供了第一方面的第二种可能的实施方式,其中,根据系统资源的使用状态,判断导致系统资源异常的目标业务处理模块为WEB代理模块的步骤,包括:获取CPU负载值和存储器内存值;当CPU负载值和存储器内存值中任一项超过相应的预设阈值时,判断导致系统资源异常的目标业务处理模块为WEB代理模块。结合第一方面,本专利技术实施例提供了第一方面的第三种可能的实施方式,其中,网桥模块中设置有第一配置文件;第一配置文件用于用户写入指标值阈值;指标值包括:并发连接数、新建连接速率和吞吐量。结合第一方面,本专利技术实施例提供了第一方面的第四种可能的实施方式,其中,WEB代理模块中设置有第二配置文件;第二配置文件用于用户写入CPU负载值阈值、存储器内存值阈值及bypass执行的指令配置内容。第二方面,本专利技术实施例还提供一种基于WEB应用防火墙过载的安全防护装置,包括:监控模块,用于监控WEB应用防火墙的系统资源;判断模块,用于根据系统资源的使用状态,判断导致系统资源异常的目标业务处理模块;目标业务处理模块包括:网桥模块及WEB代理模块中至少一种;调整模块,用于向与目标业务处理模块对应的bypass接口发送调整指令,以对超出WEB应用防火墙处理能力的部分流量进行放行。结合第二方面,本专利技术实施例提供了第二方面的第一种可能的实施方式,其中,判断模块包括:第一获取模块,用于获取系统资源的指标值;指标值至少包括以下之一:并发连接数、新建连接速率、吞吐量;第一判断模块,用于在指标值中至少一项超过相应的预设阈值时,判断导致系统资源异常的目标业务处理模块为网桥模块。结合第二方面,本专利技术实施例提供了第二方面的第二种可能的实施方式,其中,判断模块还包括:第二获取模块,用于获取CPU负载值和存储器内存值;第二判断模块,用于在CPU负载值和存储器内存值中任一项超过相应的预设阈值时,判断导致系统资源异常的目标业务处理模块为WEB代理模块。第三方面,本专利技术实施例还提供一种电子设备,包括存储器、处理器,存储器上存储有可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述第一方面及第一方面的任一种可能的实施方式所述的方法的步骤。第四方面,本专利技术实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,程序代码使处理器执行第一方面及第一方面的任一种可能的实施方式所述的方法。本专利技术实施例带来了以下有益效果:本专利技术实施例提供的基于WEB应用防火墙过载的安全防护方法包括:监控WEB应用防火墙的系统资源;根据系统资源的使用状态,判断导致系统资源异常的目标业务处理模块;目标业务处理模块包括:网桥模块及WEB代理模块中至少一种;向与目标业务处理模块对应的bypass接口发送调整指令,以使bypass接口对超出WEB应用防火墙处理能力的部分流量进行放行。本专利技术通过监控系统资源使用情况,在资源耗尽之前,对相应的业务处理模块的bypass接口进行调整,从而将超出处理能力的部分WEB流量放行至服务器,能够消除WEB应用防火墙性能问题对客户WEB业务的影响。本专利技术的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。为使本专利技术的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例一提供的一种基于WEB应用防火墙过载的安全防护方法的流程图;图2为本专利技术实施例一提供的另一种基于WEB应用防火墙过载的安全防护方法的流程图;图3为本专利技术实施例一提供的另一种基于WEB应用防火墙过载的安全防护方法的流程图;图4为本专利技术实施例二提供的一种基于WEB应用防火墙过载的安全防护装置的示意图;图5为本专利技术实施例三提供的一种电子设备的示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。由于WEB应用防火墙节点性能不足,常常会造成业务中断的严重事件发生,影响客户的WEB业务。基于此,本专利技术实施例提供一种基于WEB应用防火墙过载的安全防护方法、装置及电子设备,通过监控系统资源使用情况,在资源耗尽之前,对相应的业务处理模块的bypass接口进行调整,从而将超出处理能力的部分WEB流量放行至服务器,能够消除WEB应用防火墙性能问题对客户WEB业务的影响。为便于对本实施例进行理解,首先对本专利技术实施例所公开的一种基于WEB应用防火墙过载的安全防护方法进行详细介绍。实施例一:本专利技术实施例提供了一种基于WEB应用防火墙过载的安全防护方法,即一种基于WEB应用防火墙过载的安全机制。参见图1所示,该方法包括以下步骤:S101:监控WEB应用防火墙的系统资源。在具体应用中,业务流量在WEB应用防火墙内部,主要经过网桥模本文档来自技高网...
【技术保护点】
1.一种基于WEB应用防火墙过载的安全防护方法,其特征在于,包括:监控WEB应用防火墙的系统资源;根据所述系统资源的使用状态,判断导致所述系统资源异常的目标业务处理模块;所述目标业务处理模块包括:网桥模块及WEB代理模块中至少一种;向与所述目标业务处理模块对应的bypass接口发送调整指令,以使所述bypass接口对超出所述WEB应用防火墙处理能力的部分流量进行放行。
【技术特征摘要】
1.一种基于WEB应用防火墙过载的安全防护方法,其特征在于,包括:监控WEB应用防火墙的系统资源;根据所述系统资源的使用状态,判断导致所述系统资源异常的目标业务处理模块;所述目标业务处理模块包括:网桥模块及WEB代理模块中至少一种;向与所述目标业务处理模块对应的bypass接口发送调整指令,以使所述bypass接口对超出所述WEB应用防火墙处理能力的部分流量进行放行。2.根据权利要求1所述的方法,其特征在于,根据所述系统资源的使用状态,判断导致所述系统资源异常的目标业务处理模块为网桥模块的步骤,包括:获取系统资源的指标值;所述指标值至少包括以下之一:并发连接数、新建连接速率、吞吐量;当所述指标值中至少一项超过相应的预设阈值时,判断导致所述系统资源异常的目标业务处理模块为网桥模块。3.根据权利要求1所述的方法,其特征在于,根据所述系统资源的使用状态,判断导致所述系统资源异常的目标业务处理模块为WEB代理模块的步骤,包括:获取CPU负载值和存储器内存值;当所述CPU负载值和所述存储器内存值中任一项超过相应的预设阈值时,判断导致所述系统资源异常的目标业务处理模块为WEB代理模块。4.根据权利要求1所述的方法,其特征在于,所述网桥模块中设置有第一配置文件;所述第一配置文件用于用户写入指标值阈值;所述指标值包括:并发连接数、新建连接速率和吞吐量。5.根据权利要求1所述的方法,其特征在于,所述WEB代理模块中设置有第二配置文件;所述第二配置文件用于用户写入CPU负载值阈值、存储...
【专利技术属性】
技术研发人员:石达锋,范渊,莫金友,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。