本发明专利技术公开了一种WEB应用防火墙和WEB应用安全防护方法。本发明专利技术WEB应用防火墙包括中心防火墙节点和多个从防火墙节点,其中,所述中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一;所述从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。本发明专利技术WEB应用安全防护方法包括中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一;从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。采用本发明专利技术的技术方案能够防止由于单点错误而造成服务中断。
【技术实现步骤摘要】
本专利技术总体上涉及针对Web网站群的云安全防护领域,尤其涉及ー种Web应用防火墙和WEB应用安全防护方法。
技术介绍
当前网络安全面临的最大挑战在于如何缓解针对WEB业务的各类安全威胁,如何高效保障WEB应用的可用性和可靠性,如何优化业务资源和提高应用系统敏捷性等等。面对此类问题,国外和国内制定并推广了对应的PCI DSS安全标准、公安部第82号令,同时也衍生了对应的WEB应用防火墙、网页防篡改技术等等。WEB应用防火墙(WEB Application Firewall,也可称为网站应用级入侵防御系统)。WEB应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为WEB应用提供保护的ー种产品。传统WEB应用防火墙的形态分为软件和硬件。按部署方式,WEB应用防火墙一般可以分为桥接方式和旁路方式。无论采用哪种方式,WEB应用防火墙的架构方案主要是为了让WEB应用防火墙对现有服务造成的影响最小并且部署简单,另外还能够发挥其应有的防护功能。下面分别介绍WEB应用防火墙的这两种部署方式。一、桥接方式 在桥接架构(又叫主动配置)中,WEB应用防火墙被直接放在请求方(例如浏览器客户端)与Web应用服务器之间的流量路径当中。WEB应用防火墙对应用请求和响应进行检查之后再根据检查结果决定是否对其进行传送。使用桥接方式可以对请求进行阻断,阻止攻击行为。1.软件嵌入式 桥接方式是使用软件嵌入式把WEB应用防火墙安装在WEB应用服务器的操作系统中,对系统所接收的所有HTTP请求进行接管处置,此方式局限于操作系统与WEB服务软件的类型,只能在防火墙软件的兼容范围内进行安装部署,并且对操作系统中其他软件有可能存在冲突的风险。2.硬件设备桥接 硬件设备桥接是使用专用硬件设备来桥接部署,可选择的方式:透明模式(即无IP方式运行,用户将不必重新设定和修改路由,防火墙就可以直接安装和放置到网络中使用,如交換机ー样不需要设置IP地址。)和HTTP反向代理模式等等。这些方式需要将硬件设备串联在WEB应用服务器之前,将需要到达WEB应用服务器的请求进行接管处理,判断攻击行为后再决定是否通过请求。该部署模式会因防火墙设备单节点错误而导致WEB服务中断,并且WEB服务的性能瓶颈受到防火墙设备的性能限制,不能对虚拟主机或者分布式云计算部署的WEB应用服务器进行防护,无法进行并行计算处理,只能部署单台设备加上备机,所以系统的扩展性较差,会导致性能瓶颈,也可能因单点错误而造成服务中断。ニ、旁路方式 旁路方式又可被称为被动模式,这是因为防火墙设备不在流量路径中,而是从分接端ロ或跨接端ロ来监控流量。旁路方式常常用于收集数据,以便之后用于调查或取证分析。这种架构模式的一个主要优点是,它并不干扰网络流量或呑吐量,这是因为它不是直接嵌入的。而另一方面,不在流量路径当中意味着,这种解决方案无法执行主动的桥接方式部署所能执行的那种阻止操作。不过,该旁路方式可以支持某些形式的阻止操作,比如连接重置,或者通过联系到另ー个系统(如网络防火墙),然后让该系统执行阻止操作。由于旁路方式无法进行实时流量的处置,因此主要用于检测,而非防护。
技术实现思路
本专利技术要解决的主要技术问题是提供一种能够防止由于单点错误而造成服务中断的WEB应用防火墙和WEB应用安全防护方法。为了解决上述问题,在本专利技术的一方面,本专利技术WEB应用防火墙的技术方案包括中心防火墙节点和多个从防火墙节点,其中, 所述中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一; 所述从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。其中,所述中心防火墙节点和多个从防火墙节点在物理上位于不同的位置。优选地,所述从防火墙节点的数目根据保护目标网站的数目来配置。进ー步地,所述从防火墙节点包括检测单元和反向代理単元,其中, 所述检测単元用于对所接收的请求的http头和http正文进行检测,如果发现有攻击,则阻止所接收的请求,否则把所接收的请求发送给所述反向代理単元; 所述反向代理単元根据接收到的请求向保护目标网站发起请求。此外,所述从防火墙节点还包括: 缓存单元,用于缓存历史获取过的保护目标网站的页面数据; 日志处理单元,用于搜集和分析攻击日志并提供分析报告;其中, 所述反向代理単元在向保护目标网站发起请求之前,先查看所述缓存单元是否缓存有其所接收到的请求中所指向的保护目标网站的页面数据,如果有,则将所述页面数据发送给所述网络用户,否则向保护目标网站发起请求。优选地,所述从防火墙节点尽可能地靠近保护目标网站放置。所述一定规则包括能够提供加速访问功能的规则和不同地域的最优负载选路规则、资源动态负载均衡规则。在本专利技术的另一方面,本专利技术WEB应用安全防护方法的技术方案包括: 中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一; 从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。所述中心防火墙节点和多个从防火墙节点在物理上位于不同的位置。所述从防火墙节点的数目根据保护目标网站的数目来配置。优选地,所述从防火墙节点包括检测单元和反向代理单元,其中, 所述检测単元用于对所接收的请求的http头和http正文进行检测,如果发现有攻击,则阻止所接收的请求,否则把所接收的请求发送给所述反向代理単元; 所述反向代理単元根据接收到的请求向保护目标网站发起请求。此外,所述从防火墙节点还包括: 缓存单元,用于缓存历史获取过的保护目标网站的页面数据; 日志处理单元,用于搜集和分析攻击日志并提供分析报告;其中, 所述反向代理単元在向保护目标网站发起请求之前,先查看所述缓存单元是否缓存有其所接收到的请求中所指向的保护目标网站的页面数据,如果有,则将所述页面数据发送给所述网络用户,否则向保护目标网站发起请求。优选地,把所述从防火墙节点尽可能地放置在靠近保护目标网站的位置。其中,所述一定规则包括能够提供加速访问功能的规则和不同地域的最优负载选路规则、资源动态负载均衡规则。与现有技术相比,本专利技术WEB应用防火墙和WEB应用安全防护方法的有益效果为: 首先,由于专利技术采用中心防火墙节点和多个从防火墙节点的部署方式,中心防火墙节点按照一定规则把从网络用户接收的对保护目标网站的请求转发给多个从防火墙节点之一,由ー个从防火墙节点对该请求进行安全检测,也就是说,中心防火墙节点可以把要检测的任务在多个从防火墙节点之间进行分配。从而可以很好地解决了由于ー个防火墙节点出现故障而造成服务中断的问题。其次,本专利技术的中心防火墙节点和多个从防火墙节点在物理位置上可以处于不同的地方,从而无需修改网站原有的架设方式,因此简化了部署方案。再者,由于本专利技术的中心防火墙节点按照一定规则把从网络用户接收的对保护目标网站的请求转发给多个从防火墙节点之一,从而可以让多个在不同机房的网站使用同一个从防火墙,因此降低了整体WEB应用防火墙的运行成本。附图说明为了对本公开内容更透彻的理解,下面參考结合附图所进行的下列描述,在附图中: 图1是依据本专利技术WEB应用防火墙的ー个实施例的结构示意 图2是依据本本文档来自技高网...
【技术保护点】
一种WEB应用防火墙,其特征在于,包括中心防火墙节点和多个从防火墙节点,其中,所述中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一;所述从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。
【技术特征摘要】
1.一种WEB应用防火墙,其特征在于,包括中心防火墙节点和多个从防火墙节点,其中, 所述中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一; 所述从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。2.按权利要求1所述的WEB应用防火墙,其特征在于,所述中心防火墙节点和多个从防火墙节点在物理上位于不同的位置。3.按权利要求1或2所述的WEB应用防火墙,其特征在于,所述从防火墙节点的数目根据保护目标网站的数目来配置。4.按权利要求3所述的WEB应用防火墙,其特征在于,所述从防火墙节点包括检测单元和反向代理単元,其中, 所述检测単元用于对所接收的请求的http头和http正文进行检测,如果发现有攻击,则阻止所接收的请求,否则把所接收的请求发送给所述反向代理単元; 所述反向代理単元根据接收到的请求向保护目标网站发起请求。5.按权利要求4所述的WEB应用防火墙,其特征在于,所述从防火墙节点还包括: 缓存单元,用于缓存历史获取过的保护目标网站的页面数据; 日志处理单元,用于搜集和分析攻击日志并提供分析报告;其中, 所述反向代理単元在向保护目标网站发起请求之前,先查看所述缓存单元是否缓存有其所接收到的请求中所指向的保护目标网站的页面数据,如果有,则将所述页面数据发送给所述网络用户,否则向保护目标网站发起请求。6.按权利要求5所述的WEB应用防火墙,其特征在于, 所述从防火墙节点尽可能地靠近保护目标网站放置。7.按权利要求6所述的WEB应用防火墙,其特征在于, 所述一定规则包括能够提供加速访问功能的规则和不同地域的最优负载选路规则、资源动态负载均衡规则。8.一种W...
【专利技术属性】
技术研发人员:不公告发明人,
申请(专利权)人:北京知道创宇信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。