一种相同IP不同访问请求的WAF人机认证方法及设备技术

本申请公开了一种相同IP不同访问请求的WAF人机认证方法及设备，包括：接收客户端的访问请求后，若所述访问请求对应的流量符合预先配置的防护规则，则执行如下人机认证流程：生成认证数据，将认证数据对应的人机认证界面，作为所述访问请求的应答报文，发送给所述客户端；接收并解析所述客户端的认证请求，对所述客户端进行验证；基于验证结果，向所述客户端发送重定向报文；接收所述客户端重新发起的访问请求，并基于其中的认证状态来完成认证。本申请实施例WAF不需要检查所有流量，每个连接的只检测报文数，需要提取的字段等，可以解决相同IP的不同客户端的访问请求。相同IP的不同客户端的访问请求。相同IP的不同客户端的访问请求。

【技术实现步骤摘要】
一种相同IP不同访问请求的WAF人机认证方法及设备


[0001]本申请涉及计算机
，尤其涉及一种相同IP不同访问请求的WAF人机认证方法及设备。

技术介绍

[0002]对于同一内网用户访问互联网，出口网关的IP相同，因此中间设备包括WAF产品看到的源IP是相同的。对于同一内网用户的访问请求，经过WAF，如果单看源IP地址就无法做到精准防护。当前大多数厂商是通过会话管理功能，配置会话Token所在的位置，实现在同一IP下区分识别不同用户的访问行为，实现不影响其他用户的情况下，精准处置存在异常访问行为的用户。这种方式能解决有会话标记的用户请求，但是如果没有会话标记，则无法区分用户。

技术实现思路

[0003]本申请实施例提供一种相同IP不同访问请求的WAF人机认证方法及设备，用以解决没有会话标记时，区分相同IP不同用户的认证。
[0004]本申请实施例提供一种相同IP不同访问请求的WAF人机认证方法，包括：
[0005]利用所述WAF，接收客户端对目标页面的访问请求后，若所述访问请求符合预先配置的防护规则，则执行如下人机认证流程：
[0006]利用所述WAF，生成认证数据，并将所述认证数据对应的人机认证界面，作为所述访问请求的应答报文，发送给所述客户端，以在所述客户端执行验证，并在验证后所述客户端向所述WAF返回认证消息，其中在所述应答报文的报文头部，配置有取值包含命中防护规则ID的cookie，且返回的所述认证消息中包含所述cookie；
[0007]利用所述WAF接收并解析所述客户端的认证请求，对所述客户端进行验证；
[0008]基于验证结果，向所述客户端发送重定向报文，以使得所述客户端重新向所述目标页面发起访问请求，且重新发起的访问请求中携带有所述客户端的认证状态；
[0009]利用所述WAF，接收所述客户端重新发起的访问请求，并基于其中的认证状态来完成认证。
[0010]可选的，在利用所述WAF，生成认证数据之前还包括：更新所述客户端的用户认证状态至第一状态，且所述第一状态下的用户认证状态的KEY为内部数据加命中的防护规则ID。
[0011]可选的，将将所述认证数据对应的人机认证界面，作为所述访问请求的应答报文，发送给所述客户端是通过HTTP协议实现的；
[0012]所述客户端在接收到所述应答报文后，解析所述应答报文，渲染出人机认证界面，并基于所述人机认证界面执行验证，并在所述客户端存储所述应答报文的报文头部的cookie。
[0013]可选的，利用所述WAF接收并解析所述客户端的认证请求，对所述客户端进行验证
包括：
[0014]利用所述WAF解析所述认证请求中的认证数据，以及报文头部cookie；
[0015]将生成的所述认证数据，与解析的认证数据进行对比，以对所述客户端进行验证；以及
[0016]在所述客户端认证通过的情况下，根据所述报文头部的cookie中的用户认证状态的KEY部分字段，拼接出完整的KEY，以更新用户认证状态。
[0017]可选的，在更新用户认证状态之后还包括：利用所述WAF发送重定向报文到所述客户端，且重定向报文的URL地址为所述目标页面的URL地址。
[0018]可选的，利用所述WAF，接收所述客户端重新发起的访问请求，并基于其中的认证状态来完成认证包括：
[0019]若重新发起的访问请求中，若所述客户端的认证状态为认证通过，则放行所述客户端至源站；
[0020]若所述客户端的认证状态为认证失败，则丢弃报文，向所述客户端发送预设应答码。
[0021]可选的，利用所述WAF，接收客户端的访问请求后，若所述访问请求对应的流量不符合预先配置的防护规则，则直接放行所述客户端至源站。
[0022]本申请实施例还提出一种计算机设备，包括处理器和存储器，所述存储器上存储有计算机程序，所述计算机程序被处理器执行时实现前述的相同IP不同访问请求的WAF人机认证方法的步骤。
[0023]本申请实施例还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现前述的相同IP不同访问请求的WAF人机认证方法的步骤。
[0024]本申请实施例WAF不需要检查所有流量，每个连接的只检测报文数，需要提取的字段等，可以解决相同IP的不同客户端的访问请求。
[0025]上述说明仅是本申请技术方案的概述，为了能够更清楚了解本申请的技术手段，而可依照说明书的内容予以实施，并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂，以下特举本申请的具体实施方式。
附图说明
[0026]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本申请的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
[0027]图1为本申请实施例的WAF人机认证方法的基本流程图；
[0028]图2为本申请实施例的WAF人机认证流程示例。
具体实施方式
[0029]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围
完整的传达给本领域的技术人员。
[0030]本申请实施例提供一种相同IP不同访问请求的WAF人机认证方法，如图1所示，包括如下步骤：
[0031]在步骤S101中，利用所述WAF，接收客户端的访问请求后，检查和分析访问请求流量，客户端的访问请求可以基于HTTP协议实现，在一些实施例中，利用所述WAF，接收客户端的访问请求后，若所述访问请求不符合预先配置的防护规则，也即未命中预先配置的防护规则，则直接放行所述客户端至源站。若所述访问请求符合预先配置的防护规则，则切换至认证页面，执行如下人机认证流程，如图2所示：
[0032]在步骤S102中，利用所述WAF，生成认证数据，并将所述认证数据对应的人机认证界面，作为所述访问请求的应答报文，发送给所述客户端，以在所述客户端执行验证，并在验证后所述客户端向所述WAF返回认证消息，其中在所述应答报文的报文头部，配置有取值包含命中防护规则ID的cookie，且返回的所述认证消息中包含所述cookie。本示例中生成的认证数据可以是随机生成的，客户端可以利用所生成的认证数据完成认证，WAF可以根据认证结果对客户端完成验证。
[0033]具体的WAF在随机生成认证数据之后，可以将认证数据对应的人机认证界面，作为所述访问请求的应答报文，发送给所述客户端，以在所述客户端执行验证，并向所述WAF返回认证消息，其中在所述应答报文的报文头部cookie，配置有取值包含命中防护规则ID的cookie值，具体可以利用set
‑
...

【技术保护点】

【技术特征摘要】
1.一种相同IP不同访问请求的WAF人机认证方法，其特征在于，包括：利用所述WAF，接收客户端对目标页面的访问请求后，若所述访问请求符合预先配置的防护规则，则执行如下人机认证流程：利用所述WAF，生成认证数据，并将所述认证数据对应的人机认证界面，作为所述访问请求的应答报文，发送给所述客户端，以在所述客户端执行验证，并在验证后所述客户端向所述WAF返回认证消息，其中在所述应答报文的报文头部，配置有取值包含命中防护规则ID的cookie，且返回的所述认证消息中包含所述cookie；利用所述WAF接收并解析所述客户端的认证请求，对所述客户端进行验证；基于验证结果，向所述客户端发送重定向报文，以使得所述客户端重新向所述目标页面发起访问请求，且重新发起的访问请求中携带有所述客户端的认证状态；利用所述WAF，接收所述客户端重新发起的访问请求，并基于其中的认证状态来完成认证。2.如权利要求1所述的相同IP不同访问请求的WAF人机认证方法，其特征在于，在利用所述WAF，生成认证数据之前还包括：更新所述客户端的用户认证状态至第一状态，且所述第一状态下的用户认证状态的KEY为内部数据加命中的防护规则ID。3.如权利要求2所述的相同IP不同访问请求的WAF人机认证方法，其特征在于，将将所述认证数据对应的人机认证界面，作为所述访问请求的应答报文，发送给所述客户端是通过HTTP协议实现的；所述客户端在接收到所述应答报文后，解析所述应答报文，渲染出人机认证界面，并基于所述人机认证界面执行验证，并在所述客户端存储所述应答报文的报文头部的cookie。4.如权利要求3所述的相同IP不同访问请求的WAF人机认证方法，其特征在于，利用所述WAF接收并解析所述...

【专利技术属性】
技术研发人员：郭斌杰，
申请(专利权)人：中电云数智科技有限公司，
类型：发明
国别省市：