本发明专利技术公开了一种动态下发WAF配置的方法,所述方法包括:获取配置规则变更指令;根据所述配置规则变更指令,将配置规则进行持久化,得到持久化结果;根据所述持久化结果,触发WAF配置管理接口获取所述配置规则;根据获取到的所述配置规则,进行规则同步和实时解析。本发明专利技术采用Redis充当了配置中心用于中心化管理配置,因此无需再跨节点同步下发配置文件、对比多节点配置文件一致性。通过触发WAF配置管理接口进行配置热加载,因此无需再重加载服务,避免了请求中断,减少繁琐的步骤。减少繁琐的步骤。减少繁琐的步骤。
【技术实现步骤摘要】
一种动态下发WAF配置的方法、装置及智能终端
[0001]本专利技术涉及安防领域,具体涉及一种动态下发WAF配置的方法、装置及智能终端。
技术介绍
[0002]随着开源OpenResty的普及,使用OpenResty作为WAF(Web Application Firewall,网站应用级入侵防御系统)的场景越来越多。它是一个高性能的Web应用服务器,可以支持Lua编程语言扩展,通过编写Lua脚本来对输入的HTTP(Hyper Text Transfer Protocol,超文本传输协议)请求进行安全性检查,以预防安全威胁等。实际生产场景中,对于WAF规则策略配置管理、下发部署、时效性、稳定性都有很高的要求。目前基于OpenResty开源的WAF产品中,WAF运行时规则策略配置都是以文件的形式存在,会存在以下问题:1、修改规则策略需要编辑配置文件,编辑完成后还需要将配置文件部署到WAF所在服务器上;2、如果WAF集群由若干节点组成,则还需要考虑将配置文件部署下发到所有节点,这将涉及到跨节点远程文件同步和文件一致性问题;3、部署配置完成后还需要重新加载OpenResty服务才能使规则策略重新加载生效。可见,每次修改策略配置都要重复经历这3个必须的步骤,导致维护繁琐、配置下发生效时间长、且频繁重新加载服务会造成请求响应上的中断感知。
[0003]因此,现有技术还有待于改进和发展。
技术实现思路
[0004]本专利技术要解决的技术问题在于,针对现有技术的上述缺陷,提供一种动态下发WAF配置的方法、装置及智能终端,旨在解决现有技术中修改策略配置时程序繁琐以及频繁重新加载造成的中断感知的问题。
[0005]本专利技术解决技术问题所采用的技术方案如下:
[0006]第一方面,本专利技术提供一种动态下发WAF配置方法,其中,所述方法包括:
[0007]获取配置规则变更指令;
[0008]根据所述配置规则变更指令,将配置规则进行持久化,得到持久化结果;
[0009]根据所述持久化结果,触发WAF配置管理接口获取所述配置规则;
[0010]根据获取到的所述配置规则,进行规则同步和实时解析。
[0011]在一种实现方式中,所述获取配置规则变更指令之前,包括:
[0012]当增加、修改、删除WAF配置规则时,生成并发送相应的配置规则变更指令,其中,所述配置规则变更指令包括所述配置规则。
[0013]在一种实现方式中,所述根据所述配置规则变更指令,将配置规则进行持久化,得到持久化结果,包括:
[0014]根据所述配置规则变更指令,得到所述配置规则;
[0015]将所述配置规则以字符串键值对的形式持久化到Redis配置中心中,得到持久化结果,其中,所述字符串键值对包括一一对应的配置名称和配置内容值,所述持久化结果包
括配置成功和配置失败。
[0016]在一种实现方式中,所述根据所述持久化结果,触发WAF配置管理接口获取所述配置规则,包括:
[0017]若所述持久化结果为配置成功,则所述Redis配置中心向所述WAF配置管理接口发出触发通知;
[0018]根据所述触发通知,所述WAF配置管理接口从所述Redis配置中心获取所述配置规则。
[0019]在一种实现方式中,所述根据所示持久化结果,触发WAF配置管理接口从所述Redis的配置中心获取所述配置规则,还包括:
[0020]若所述持久化结果为配置失败,则检查网络状态和Redis配置中心的运行状态,得到检查结果;
[0021]若所述检查结果为网络联通正常和Redis配置中心运行正常,则重新执行所述将所述配置规则以字符串键值对的形式持久化到Redis配置中心中的步骤。
[0022]在一种实现方式中,所述根据获取到的所述配置规则,进行规则同步和实时解析,包括:
[0023]根据获取到的所述配置规则,调用OpenResty服务器的内置方法把所述配置规则同步刷写到共享内存中,其中,所述OpenResty服务器的内置方法用于存储缓存数据和共享配置规则。
[0024]在一种实现方式中,所述根据获取到的所述配置规则,进行规则同步和实时解析,还包括:
[0025]通过WAF规则引擎实时解析所述共享内存中的所述配置规则。
[0026]第二方面,本专利技术实施例还提供一种动态下发WAF配置装置,其中,所述装置包括:
[0027]配置规则变更指令获取模块,用于获取配置规则变更指令;
[0028]持久化模块,用于根据所述配置规则变更指令,将配置规则进行持久化,得到持久化结果;
[0029]配置规则获取模块,用于根据所述持久化结果,触发WAF配置管理接口获取所述配置规则;
[0030]规则同步和实时解析模块,用于根据获取到的所述配置规则,进行规则同步和实时解析。
[0031]第三方面,本专利技术实施例还提供一种智能终端,其中,所述智能终端包括存储器、处理器及存储在所述存储器中并可在所述处理器上运行的动态下发WAF配置程序,所述处理器执行所述动态下发WAF配置程序时,实现如以上任一项所述的动态下发WAF配置方法的步骤。
[0032]第四方面,本专利技术实施例还提供一种计算机可读存储介质,其中,所述计算机可读存储介质上存储有动态下发WAF配置程序,所述动态下发WAF配置程序被处理器执行时,实现如以上任一项所述的动态下发WAF配置方法的步骤。
[0033]有益效果:与现有技术相比,本专利技术提供了一种动态下发WAF配置的方法。首先,获取配置规则变更指令,并根据所述配置规则变更指令,将配置规则进行持久化,得到持久化结果。通过将配置规则持久化到配置中心统一集中化管理,以保证配置始终只有一份,无需
做多节点间配置文件同步和一致性校验。然后,根据所述持久化结果,触发WAF配置管理接口获取所述配置规则。实现了配置下发通过触发各WAF节点API即可快速完成规则下发。最后,根据获取到的所述配置规则,进行规则同步和实时解析。实现了无需reload服务,即可做到配置实时热加载、无感知,减少繁琐的步骤。
附图说明
[0034]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0035]图1是本专利技术实施例提供的动态下发WAF配置方法流程示意图。
[0036]图2是本专利技术实施例提供动态下发WAF配置方法的流程图。
[0037]图3是本专利技术实施例提供的动态下发WAF配置装置的原理框图。
[0038]图4是本专利技术实施例提供的智能终端的内部结构原理框图。
具体实施方式
[0039]为使本专利技术的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本专利技术进一步详细说明。应当本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种动态下发WAF配置的方法,其特征在于,所述方法包括:获取配置规则变更指令;根据所述配置规则变更指令,将配置规则进行持久化,得到持久化结果;根据所述持久化结果,触发WAF配置管理接口获取所述配置规则;根据获取到的所述配置规则,进行规则同步和实时解析。2.根据权利要求1所述的动态下发WAF配置的方法,其特征在于,所述获取配置规则变更指令之前,包括:当增加、修改、删除WAF配置规则时,生成并发送相应的配置规则变更指令,其中,所述配置规则变更指令包括所述配置规则。3.根据权利要求1所述的动态下发WAF配置的方法,其特征在于,所述根据所述配置规则变更指令,将配置规则进行持久化,得到持久化结果,包括:根据所述配置规则变更指令,得到所述配置规则;将所述配置规则以字符串键值对的形式持久化到Redis配置中心中,得到持久化结果,其中,所述字符串键值对包括一一对应的配置名称和配置内容值,所述持久化结果包括配置成功和配置失败。4.根据权利要求3所述的动态下发WAF配置的方法,其特征在于,所述根据所述持久化结果,触发WAF配置管理接口获取所述配置规则,包括:若所述持久化结果为配置成功,则所述Redis配置中心向所述WAF配置管理接口发出触发通知;根据所述触发通知,所述WAF配置管理接口从所述Redis配置中心获取所述配置规则。5.根据权利要求3所述的动态下发WAF配置的方法,其特征在于,所述根据所示持久化结果,触发WAF配置管理接口从所述Redis的配置中心获取所述配置规则,还包括:若所述持久化结果为配置失败,则检查网络状态和Redis配置中心的运行状态,得到检查结果;若所述检查结果为网络联通正常和Redis配置中心运行正常...
【专利技术属性】
技术研发人员:齐凯,陈帅雷,刘宁,
申请(专利权)人:云智联网络科技北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。