请求处理方法与安全防护系统技术方案

本发明专利技术实施例涉及网络安全技术领域，公开了一种请求处理方法与安全防护系统，请求处理方法包括：在接收到的用户请求需要安全检测时，对用户请求进行复制，并将复制的用户请求发送到安全防护模块；接收安全防护模块返回的对用户请求进行安全过滤后得到的安全策略结果；根据安全策略结果，对用户请求进行响应。本发明专利技术中，安全防护模块以旁路的方式提供安全防护服务，业务模块在执行自身业务时可以按需调用安全防护模块进行安全防护，提高了业务模块的利用率。

【技术实现步骤摘要】
请求处理方法与安全防护系统
本专利技术实施例涉及网络安全
，特别涉及一种请求处理方法与安全防护系统。
技术介绍
Web应用防火墙(WebApplicationFirewall，简称WAF)系统主要用于对Web服务中遇到的入侵和攻击进行防护，例如DDOS防护、SQL注入、XML注入、XSS防护等。在CDN网络中，WAF系统是嵌入在边缘节点和父节点之间的专属节点中，从而能够利用WAF系统进行安全防护，WAF系统在对边缘节点发送的用户请求进行防护时，由WAF系统到父节点或源节点获取资源，并由边缘节点返回给用户。然而，专利技术人发现现有技术至少存在以下技术问题：在CDN网络中，部署有WAF的边缘节点一般作为专属节点，仅用于对需要安全检测的客户请求进行处理，不支持普通客户请求的处理，导致机器部署灵活性低，并且利用率较低。
技术实现思路
本专利技术实施方式的目的在于提供一种请求处理方法与安全防护系统，安全防护模块以旁路的方式提供安全防护服务，业务模块在执行自身业务时可以按需调用安全防护模块进行安全防护，提高了业务模块的利用率；同时，实现了安全防护服务与其他业务叠加，安全防护模块可以灵活部署。为解决上述技术问题，本专利技术的实施方式提供了一种请求处理方法，应用于安全防护系统的业务模块，安全防护系统还包括连接于业务模块的安全防护模块；方法包括：在接收到的用户请求需要安全检测时，对用户请求进行复制，并将复制的用户请求发送到安全防护模块；接收安全防护模块返回的对用户请求进行安全过滤后得到的安全策略结果；根据安全策略结果，对用户请求进行响应。本专利技术的实施方式还提供了一种安全防护系统，包括：相互连接的业务模块与安全防护模块；业务模块用于在接收到的用户请求需要安全检测时，对用户请求进行复制，并将复制的用户请求发送到安全防护模块；安全防护模块用于对用户请求进行安全过滤，并将得到的安全策略结果发送到业务模块；业务模块还用于根据安全策略结果，对用户请求进行响应。本专利技术实施方式相对于现有技术而言，业务模块能够在接收到的用户请求需要安全检测时，对用户请求进行复制，并将复制的用户请求发送到安全防护模块，安全防护模块则能够对用户请求进行安全过滤，并将得到的安全策略结果发送到业务模块，从而业务模块可以根据安全策略结果，对用户请求进行响应，即安全防护模块以旁路的方式提供安全防护服务，业务模块在执行自身业务时可以按需调用安全防护模块进行安全防护，提高了业务模块的利用率；同时，实现了安全防护服务与其他业务叠加，安全防护模块可以灵活部署。另外，判断用户请求是否需要安全检测的方式为：在接收到用户请求时，获取用户请求包含的目标域名的配置信息；根据目标域名的配置信息，判断用户请求是否需要安全检测。本实施方式提供了判断用户请求是否需要安全检测的一种具体实现方式。另外，根据安全策略结果，对用户请求进行响应，包括：在安全策略结果表征用户请求处于通行状态时，将用户请求转发到目标服务器，并将接收到的目标服务器返回的响应内容作为用户请求的响应；在安全策略结果表征用户请求处于拦截状态时，将预设的拦截页面作为用户请求的响应。本实施方式提供了一种根据安全策略结果，对用户请求进行响应的一种具体实现方式。另外，将接收到的目标服务器返回的响应内容作为用户请求的响应，包括：在接收到目标服务器返回的响应内容时，对响应内容进行安全检测，得到安全检测结果；在安全检测结果表征响应内容为正常状态时，将响应内容为用户请求的响应；在安全检测结果表征响应内容为异常状态时，将预设的拦截页面作为用户请求的响应。本实施方式中，利用业务模块对响应内容的安全检测，即业务模块无需通过安全防护模块便能够直接进行响应内容的安全检测，减少了响应内容的转发操作，简化了安全检测流程。附图说明一个或多个实施例通过与之对应的附图中的图片进行示例性说明，这些示例性说明并不构成对实施例的限定，附图中具有相同参考数字标号的元件表示为类似的元件，除非有特别申明，附图中的图不构成比例限制。图1是根据本专利技术第一实施方式中的请求处理方法应用的安全防护系统的方框示意图；图2是根据本专利技术第一实施方式中的请求处理方法的具体流程图；图3是图4中步骤103的具体流程图；图4是根据本专利技术第一实施方式中的服务器、客户端以及目标服务器之间的交互时序图；图5是根据本专利技术第二实施方式中的请求处理方法的具体流程图；图6是根据本专利技术第二实施方式中的服务器、客户端以及目标服务器之间的交互时序图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术的各实施方式进行详细的阐述。然而，本领域的普通技术人员可以理解，在本专利技术各实施方式中，为了使读者更好地理解本申请而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施方式的种种变化和修改，也可以实现本申请所要求保护的技术方案。本专利技术的第一实施方式涉及一种请求处理方法，请参考图1，应用于安全防护系统中的业务模块1，安全防护系统还包括连接于业务模块1的安全防护模块2。本实施例中，业务模块1用于为用户提供加速、缓存等服务，可以为安装在服务器中业务系统软件；安全防护模块2用于为用户提供安全防护服务，可以为安装在服务器中WAF系统软件。其中，业务模块1与安全防护模块2可以均为基于nginx的模块，即业务系统软件与WAF系统软件均为基于nginx的软件。本实施方式的请求处理方法的具体流程如图1所示。步骤101，在接收到的用户请求需要安全检测时，对用户请求进行复制，并将复制的用户请求发送到安全防护模块。具体而言，业务模块1所在的服务器的内存中预先加载有各域名的配置信息，配置信息包括各域名是否需要安全检测的设置，业务模块1接收到用户通过客户端3发送的目标域名的用户请求时，可以读取该目标域名的配置信息，并能够根据该目标域名的配置信息，来判断用户请求是否需要安全检测。当目标域名的配置信息表征该域名处于监控状态时，判定该用户请求需要进行安全检测，此时业务模块1将原始的用户请求缓存，并对原始的用户请求进行复制，然后将复制的用户请求发送到安全防护模块2，由安全防护模块2对用户请求进行安全过滤。当目标域名的配置信息表征该域名处于拦截状态时，则可以直接响应预设的拦截页面到客户端3。当目标域名的配置信息表征该域名处于正常状态时，判定该用户请求不需要进行安全检测，此时将用户请求发送到目标服务器4，并将接收到的目标服务器4返回的响应内容转发到客户端3，其中目标服务器可以为业务模块1所在服务器的父节点或目标域名的源站。步骤102，接收安全防护模块返回的对用户请求进行安全过滤后得到的安全策略结果。具体而言，安全防护模块2作为WAF系统，在接收到业务模块1发送的用户请求时，对该用户请求进行安全过滤，检测方式包括URL的正则匹配、请求头的检验等等，从而能够检测出用户请求中是否存在SQL注入、XSS攻击、WEBSHELL攻击等等，并生成相应的安本文档来自技高网...

【技术保护点】
1.一种请求处理方法，其特征在于，应用于安全防护系统的业务模块，所述安全防护系统还包括连接于所述业务模块的安全防护模块；所述方法包括：/n在接收到的用户请求需要安全检测时，对所述用户请求进行复制，并将复制的所述用户请求发送到所述安全防护模块；/n接收所述安全防护模块返回的对所述用户请求进行安全过滤后得到的安全策略结果；/n根据所述安全策略结果，对所述用户请求进行响应。/n

【技术特征摘要】
1.一种请求处理方法，其特征在于，应用于安全防护系统的业务模块，所述安全防护系统还包括连接于所述业务模块的安全防护模块；所述方法包括：
在接收到的用户请求需要安全检测时，对所述用户请求进行复制，并将复制的所述用户请求发送到所述安全防护模块；
接收所述安全防护模块返回的对所述用户请求进行安全过滤后得到的安全策略结果；
根据所述安全策略结果，对所述用户请求进行响应。


2.根据权利要求1所述的请求处理方法，其特征在于，判断所述用户请求是否需要安全检测的方式为：
在接收到所述用户请求时，获取所述用户请求包含的目标域名的配置信息；
根据所述目标域名的配置信息，判断所述用户请求是否需要安全检测。


3.根据权利要求1所述的请求处理方法，其特征在于，所述根据所述安全策略结果，对所述用户请求进行响应，包括：
在所述安全策略结果表征所述用户请求处于通行状态时，将所述用户请求转发到目标服务器，并将接收到的所述目标服务器返回的响应内容作为所述用户请求的响应；
在所述安全策略结果表征所述用户请求处于拦截状态时，将预设的拦截页面作为所述用户请求的响应。


4.根据权利要求3所述的请求处理方法，其特征在于，所述将接收到的所述目标服务器返回的响应内容作为所述用户请求的响应，包括：
在接收到所述目标服务器返回的响应内容时，对所述响应内容进行安全检测，得到安全检测结果；
在所述安全检测结果表征所述响应内容为正常状态时，将所述响应内容为所述用户请求的响应；
在所述安全检测结果表征所述响应内容为异常状态时，将预设的拦截页面作为所述用户请求的响应。


5.一种安全防护系统，其特征在于，包括：相互连接的业务模块与安全防护模块；
所述业务模块用于在...

【专利技术属性】
技术研发人员：王斌，
申请(专利权)人：网宿科技股份有限公司，
类型：发明
国别省市：上海;31