本发明专利技术涉及计算机科学与技术相关技术领域,具体涉及一种基于端口代理的web终端防护方法、系统和存储介质。其中,本申请提供的基于端口代理的web终端防护方法,包括:代理服务器获取客户端的请求报文;代理服务器判断所述请求报文的流量的合法性;若合法,则将所述请求报文发送至web终端;若不合法,则将所述请求报文的日志转发至日志服务器,通过第三方日志工具统计、分析所述请求的流量。如此,通过代理服务器对来自web客户端的请求进行验证,基于既定策略对非法流量进行阻断,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。网站站点进行有效防护。网站站点进行有效防护。
【技术实现步骤摘要】
基于端口代理的web终端防护方法、系统和存储介质
[0001]本专利技术涉及计算机科学与技术相关
,具体涉及一种基于端口代理的web终端防护方法、系统和存储介质。
技术介绍
[0002]当WEB应用越来越为丰富的同时,WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存在这样那样的问题,例如传统的防火墙体系无法对当前快速爆发和蔓延的0DAY漏洞进行快速响应和对抗,而要彻底解决此类漏洞的代码审计和代码修补往往需要较长的时间。因此需要寻求一种基于应用层的防护手段保证web应用服务器的安全。
技术实现思路
[0003]有鉴于此,提供一种基于端口代理的web终端防护方法、系统和存储介质,以解决相关技术中的问题。
[0004]本专利技术采用如下技术方案:
[0005]第一方面,一种基于端口代理的web终端防护方法,包括:
[0006]代理服务器获取客户端的请求报文;
[0007]代理服务器判断所述请求报文的流量的合法性;
[0008]若合法,则将所述请求报文发送至web终端;
[0009]若不合法,则将所述请求报文的日志转发至日志服务器,通过第三方日志工具统计、分析所述请求的流量。
[0010]可选的,所述代理服务器设置有预设的过滤规则;所述预设的过滤规则,包括:阻断规则、告警规则、放行规则;/>[0011]所述代理服务器基于预设的过滤规则,对所述请求报文进行过滤。
[0012]可选的,所述预设的过滤规则包括:限制单个IP/Cookie/Referer访问者对网站上特定路径(URL)的访问频率。
[0013]可选的,还包括:
[0014]所述web终端的地址映射到所述代理服务器上,代理服务器伪装为一台真实的web服务器,并对外暴露IP地址及端口号,供客户端的请求报文访问web终端。
[0015]可选的,还包括:
[0016]所述web终端将对所述请求报文回复的数据发送至所述代理服务器;
[0017]所述代理服务器将所述回复的数据发送至客户端。
[0018]又一方面,本申请提供一种基于端口代理的web终端防护系统,包括:代理服务器、日志服务器和web终端;
[0019]所述web终端的地址映射到所述代理服务器上,代理服务器伪装为一台真实的web
服务器,并对外暴露IP地址及端口号,供客户端的请求报文访问web终端;所述代理服务器获取客户端的请求报文;
[0020]所述代理服务器判断所述请求报文的流量的合法性;若合法,则将所述请求报文发送至web终端;若不合法,则将所述请求报文的日志转发至日志服务器,通过第三方日志工具统计、分析所述请求的流量;
[0021]可选的,所述代理服务器设置有预设的过滤规则;所述预设的过滤规则,包括:阻断规则、告警规则、放行规则;
[0022]所述代理服务器基于预设的过滤规则,对所述请求报文进行过滤。
[0023]可选的,所述预设的过滤规则包括:限制单个IP/Cookie/Referer访问者对网站上特定路径(URL)的访问频率。
[0024]可选的,所述web终端将对所述请求报文回复的数据发送至所述代理服务器;所述代理服务器将所述回复的数据发送至客户端。
[0025]又一方面,一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时,实现如本申请所述的基于端口代理的web终端防护方法中各个步骤。
[0026]本专利技术采用以上技术方案,代理服务器获取客户端的请求报文;代理服务器判断所述请求报文的流量的合法性;若合法,则将所述请求报文发送至web终端;若不合法,则将所述请求报文的日志转发至日志服务器,通过第三方日志工具统计、分析所述请求的流量。如此,通过代理服务器对来自web客户端的请求进行验证,基于既定策略对非法流量进行阻断,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
附图说明
[0027]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0028]图1是本专利技术实施例提供的一种基于端口代理的web终端防护方法的流程图;
[0029]图2是本专利技术实施例提供的一种基于端口代理的web终端防护方法的流程图;
[0030]图3是本专利技术实施例提供的一种基于端口代理的web终端防护系统的结构示意图。
具体实施方式
[0031]为使本专利技术的目的、技术方案和优点更加清楚,下面将对本专利技术的技术方案进行详细的描述。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本专利技术所保护的范围。
[0032]首先对本专利技术实施例的应用场景进行说明,随着互联网的发展,WEB应用内容越来越丰富,WEB服务器承载着强大的计算能力、处理性能且蕴含的无法估量的价值,这些都使之成为被攻击的重要因素。跨站脚本、网页篡改、sql注入等安全事件频繁发生。企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是,传统的防火墙只能解决网络三层
和四层的安全问题,无法对应用层实施防护,例如传统的防火墙体系无法对当前快速爆发和蔓延的0DAY漏洞进行快速响应和对抗,而要彻底解决此类漏洞的代码审计和代码修补往往需要较长的时间。因此需要寻求一种基于应用层的防护手段保证web应用服务器的安全。目前已有的解决方案如下:1.基于端口镜像流量;端口镜像模式工作时,这种工作模式原理是使用交换机的端口镜像功能,即将交换机端口上的所有HTTP的流量完整的镜像一份给用于流量分析的服务器。对于分析服务器而言,流量只进不出。这种方法缺点如下:这种部署模式只能对镜像的流量进行分析、告警和记录,但是无法对恶意的流量进行有效的拦截和阻断,处理现有的网络攻击方式较为被动,不能有效的对web服务器实时防护。2.基于路由方式:路由模式工作时,这种工作模式的原理为代理服务器作为网关为web服务器转发路由,因此这种模式需要为代理服务器接口配置IP地址以及路由。这种方法缺点如下:这种部署方式存在单点故障问题,且这种部署方式需要转发到web服务器的所有流量,负载较大也不支持服务器负载均衡功能。本申请针对这一问题提出了对应的解决方案。
[0033]实施例
[0034]图1为本专利技术实施例提供的一种基于端口代理的web终端防护方法的流程图,该方法可以由本专利技术实施例提供的基于端口代理的web终端防护系统来执行。参考图1,该方法具体可以包括本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于端口代理的web终端防护方法,其特征在于,包括:代理服务器获取客户端的请求报文;代理服务器判断所述请求报文的流量的合法性;若合法,则将所述请求报文发送至web终端;若不合法,则将所述请求报文的日志转发至日志服务器,通过第三方日志工具统计、分析所述请求的流量。2.根据权利要求1所述的基于端口代理的web终端防护方法,其特征在于,所述代理服务器设置有预设的过滤规则;所述预设的过滤规则,包括:阻断规则、告警规则、放行规则;所述代理服务器基于预设的过滤规则,对所述请求报文进行过滤。3.根据权利要求2所述的基于端口代理的web终端防护方法,其特征在于,所述预设的过滤规则包括:限制单个IP/Cookie/Referer访问者对网站上特定路径(URL)的访问频率。4.根据权利要求1所述的基于端口代理的web终端防护方法,其特征在于,还包括:所述web终端的地址映射到所述代理服务器上,代理服务器伪装为一台真实的web服务器,并对外暴露IP地址及端口号,供客户端的请求报文访问web终端。5.根据权利要求1所述的基于端口代理的web终端防护方法,其特征在于,还包括:所述web终端将对所述请求报文回复的数据发送至所述代理服务器;所述代理服务器将所述回复的数据发送至客户端。6.一种基于端口代理的web终端防护系统,其特征在于,包括:代理服务器、日志服务器和...
【专利技术属性】
技术研发人员:高铭,贾建杰,
申请(专利权)人:北京中数智汇科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。