【技术实现步骤摘要】
本专利技术涉及通信,尤其涉及一种安全防护系统、安全防护方法及设备。
技术介绍
1、现有的通用web应用防护系统(web application firewall,waf)采用的是双主双备方案,如图1所示传统的主备两台机器能力被最大化的共用,原主节点(master)主机同时启动5个waf应用(waf1、……、waf5),原从节点(slave)主机启动5个waf应用(waf6、……、waf10);其中示例的,waf1承载租户1的70%流量和租户10的30%的流量,waf10承载租户1的30%流量和租户10的70%流量,每个租户都有两个可靠节点托管流量,租户间的会话(session)通过远程字典服务(remote dictionary server,redis)主备实现可靠的数据同步,从而达到两台机器只要有一台机器存活,用户则不会出现断网的情况。
2、但是上述双主双备的方式waf master节点托管全部租户,master节点和slave节点通过持久化session完成主备业务数据同步,如图2示出的主备模式下数据流的处理流程,租户1、租户2、……、租户10的7层网络数据包(包括tls/ssl卸载五元组hash)经过安全传输层协议(transport layer security,tls)解密或安全套接层(secure socket layer,ssl)证书卸载、以及五元组哈希(hash)后,将得到的数据包通过硬件转发器(f5)的互联网协议(internet protocol,ip)负载转发进入waf中的反向代理服务器(ng
3、由于现有的waf方案中单租户和多租户所有的处理过程都在一个nginx上完成,一旦nginx宕机,转发到当前nginx上的所有租户的流量均会受影响,因此故障爆炸半径极高、服务级别协议(service-level agreement,sla)可靠程度低;并且当nginx中的任一模块的资源不够时,需要再部署一个nginx,即需要以nginx为单位进行横向扩展,导致横向扩展能力低、成本较高。
4、综上,现有的waf方案存在故障爆炸半径高、sla可靠程度低、横向扩展能力低及成本高的问题。
技术实现思路
1、本申请实施例提供了一种安全防护系统、安全防护方法及设备,用以解决现有技术中waf方案的故障爆炸半径高、sla可靠程度低、横向扩展能力低及成本高的问题。
2、第一方面,本申请实施例提供了一种安全防护系统,所述系统包括收发包模块、应用防火墙waf;
3、收发包模块,用于接收租户报文,对租户报文进行解析,根据租户报文归属的目标租户,确定目标租户对应的目标应用防火墙waf,将报文转发至目标应用防火墙waf;
4、目标应用防火墙waf,用于对报文进行安全检测,确定报文对应的决策结果,将决策结果转发至收发包模块;
5、收发包模块,还用于当决策结果为发送时,转发报文。
6、第二方面,本申请实施例提供了一种安全防护方法,所述方法包括:
7、收发包模块接收租户报文,对租户报文进行解析,根据租户报文归属的目标租户,确定目标租户对应的目标应用防火墙waf,将报文转发至目标应用防火墙waf;
8、目标应用防火墙waf对报文进行安全检测,确定报文对应的决策结果,将决策结果转发至收发包模块;
9、当决策结果为发送时,收发包模块转发报文。
10、第三方面,本申请实施例还提供了一种安全防护装置,所述装置包括:
11、处理模块,用于收发包模块接收租户报文,对租户报文进行解析,根据租户报文归属的目标租户,确定目标租户对应的目标应用防火墙waf,将报文转发至目标应用防火墙waf;
12、检测模块,用于目标应用防火墙waf对报文进行安全检测,确定报文对应的决策结果,将决策结果转发至收发包模块;
13、转发模块,用于当决策结果为发送时,收发包模块转发报文。
14、第四方面,本申请实施例还提供了一种电子设备,所述电子设备至少包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序时实现如上述任一项所述安全防护方法的步骤。
15、第五方面,本申请实施例还提供了一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述安全防护方法的步骤。
16、在本申请实施例中,安全防护系统包括收发包模块、应用防火墙waf;收发包模块,用于接收租户报文,对租户报文进行解析,根据租户报文归属的目标租户,确定目标租户对应的目标应用防火墙waf,将报文转发至目标应用防火墙waf;目标应用防火墙waf,用于对报文进行安全检测,确定报文对应的决策结果,将决策结果转发至收发包模块;收发包模块,还用于当决策结果为发送时,转发报文。
17、由于本申请实施例中安全防护系统包括收发包模块和应用防火墙waf,收发包模块负责数据的解析和转发,应用防火墙waf只进行报文的安全检测,并确定相应的决策结果,避免了将所有处理过程都在waf的一个nginx上完成的情况,实现故障隔离和容错设计,以减少故障对系统的影响,提高了系统的可靠性和稳定性;并且通过将任务分别部署在不同模块上,能够实现当处理任一任务对应的模块资源不够时以该模块为单位进行横向扩展和负载均衡,提高了系统的性能和可扩展性。
本文档来自技高网...【技术保护点】
1.一种安全防护系统,其特征在于,所述系统包括收发包模块、应用防火墙WAF;
2.根据权利要求1所述的系统,其特征在于,所述系统还包括租户控制模块;
3.根据权利要求2所述的系统,其特征在于,所述收发包模块,还用于接收所述租户发送的注册请求,并将所述注册请求发送至所述租户控制模块;
4.根据权利要求2所述的系统,其特征在于,所述系统还包括安全传输层协议TLS解密模块;
5.根据权利要求1所述的系统,其特征在于,所述目标应用防火墙WAF包括安全引擎模块和策略决策模块;
6.根据权利要求5所述的系统,其特征在于,所述策略决策模块,具体用于根据租户信息以及租户策略的对应关系以及所述报文归属的目标租户,确定所述目标租户对应的租户策略。
7.根据权利要求6所述的系统,其特征在于,所述目标应用防火墙WAF还包括策略执行模块;
8.根据权利要求1或7所述的系统,其特征在于,所述收发包模块,还用于当所述决策结果为阻断时,丢弃所述报文。
9.一种安全防护方法,其特征在于,所述方法包括:
10
...【技术特征摘要】
1.一种安全防护系统,其特征在于,所述系统包括收发包模块、应用防火墙waf;
2.根据权利要求1所述的系统,其特征在于,所述系统还包括租户控制模块;
3.根据权利要求2所述的系统,其特征在于,所述收发包模块,还用于接收所述租户发送的注册请求,并将所述注册请求发送至所述租户控制模块;
4.根据权利要求2所述的系统,其特征在于,所述系统还包括安全传输层协议tls解密模块;
5.根据权利要求1所述的系统,其特征在于,所述目标应用防火墙waf包括安全引擎模块和策略决策模块;
6.根据权利要求5所述的系统,其特征在于...
【专利技术属性】
技术研发人员:陈晓西,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。