【技术实现步骤摘要】
一种用于nginx的多维过滤请求的防火墙系统及方法
本专利技术涉及网络安全领域,具体涉及一种用于nginx的多维过滤请求的防火墙系统及方法。
技术介绍
现有技术一般使用nginx作为服务器,当有网络请求访问服务器时,为保证服务器的安全,通常需要对访问请求是否为正常访问进行判断,禁止非正常访问请求。在实现本专利技术过程中,申请人发现现有技术中至少存在如下问题:目前惯用的做法为在lua脚本中配置ip的黑白名单,当用户访问请求进来的时候,nginx服务器依照预先配置的黑白名单进行匹配,如果为黑名单则拒绝此次请求,如果是白名单则此请求可以正常进行业务访问。
技术实现思路
本专利技术实施例提供一种用于nginx的多维过滤请求的防火墙系统及方法,基于对防火墙访问日志来分析访问行为,多维度动态的配置形成过滤规则,动态生成过滤规则,使得过滤规则更加丰富和多样,能够从多角度对网络请求进行过滤,过滤效果更加显著,提高过滤的有效性。为达上述目的,一方面,本专利技术实施例提供一种用于nginx的多...
【技术保护点】
1.一种用于nginx的多维过滤请求的防火墙系统,其特征在于,包括:/n过滤规则生成单元:用于提取防火墙系统访问日志中网络请求的请求参数,并获取每个请求参数在各自预定时间段内的请求次数;所述请求参数的类型包括:网络层协议ip、身份标识id、统一资源定位符url或请求域名加端口号host;/n当某个设定类型的请求参数在预定时间段内的请求次数不小于其相应的设定阈值时,根据该请求参数设定第一过滤条件,并针对其他类型的请求参数,当其他类型的请求参数在预设时间段内的请求次数不小于其相应的设定阈值时,根据该请求参数设定第二过滤条件,基于第一过滤条件和第二过滤条件共同生成过滤规则;/nR...
【技术特征摘要】
1.一种用于nginx的多维过滤请求的防火墙系统,其特征在于,包括:
过滤规则生成单元:用于提取防火墙系统访问日志中网络请求的请求参数,并获取每个请求参数在各自预定时间段内的请求次数;所述请求参数的类型包括:网络层协议ip、身份标识id、统一资源定位符url或请求域名加端口号host;
当某个设定类型的请求参数在预定时间段内的请求次数不小于其相应的设定阈值时,根据该请求参数设定第一过滤条件,并针对其他类型的请求参数,当其他类型的请求参数在预设时间段内的请求次数不小于其相应的设定阈值时,根据该请求参数设定第二过滤条件,基于第一过滤条件和第二过滤条件共同生成过滤规则;
Redis存储单元:用于获取过滤规则生成单元生成的过滤规则并保存;
nginx服务器:用于当新的网络请求访问本nginx服务器时,提取该网络请求中的各请求参数;并将该网络请求中的各请求参数与过滤规则进行比对,当与过滤规则相匹配时,拒绝该网络请求;否则通过该网络请求。
2.根据权利要求1所述的用于nginx的多维过滤请求的防火墙系统,其特征在于,所述过滤规则生成单元,具体用于:
将第一过滤条件作为键,以及将第二过滤条件作为值;基于第一过滤条件的键和第二过滤条件的值所形成的键值对表示过滤规则。
3.根据权利要求2所述的用于nginx的多维过滤请求的防火墙系统,其特征在于,所述述过滤规则生成单元,还用于:
当过滤规则具有多条第二过滤条件时,则将该过滤规则中所有的第二过滤条件合并为json数据串,将json数据串作为该过滤规则键值对的值。
4.根据权利要求1所述的用于nginx的多维过滤请求的防火墙系统,其特征在于,所述nginx服务器,还用于:
定期访问redis存储单元,获取访问到的新的过滤规则并保存在nginx服务器的缓存中;以及,
在提取该网络请求中的各请求参数后,将该网络请求中的各请求参数与缓存中的过滤规则进行比对,当与过滤规则相匹配时,拒绝该网络请求;否则通过该网络请求。
5.根据权利要求1所述的用于nginx的多维过滤请求的防火墙系统,其特征在于,
所述过滤规则生成单元:用于生成多条所述过滤规则;
所述nginx服务器,具体用于:通过ngx_lua模块调取lua脚本,通过lua脚本提取该网络请求中的各网络参数,并将该网络请求中的各请求参数与每条过滤规则逐一进行比对,当与其中任一过滤规则内的各条过滤条件均匹配时,拒绝该网络请求;否则通过该网络请求。
6.一种用于nginx的多维过滤请求的方法,其特征在于,...
【专利技术属性】
技术研发人员:董思萌,
申请(专利权)人:微梦创科网络科技中国有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。