CN102469045B - 一种提升web安全网关并发性能的方法 - Google Patents
一种提升web安全网关并发性能的方法 Download PDFInfo
- Publication number
- CN102469045B CN102469045B CN201010533176.5A CN201010533176A CN102469045B CN 102469045 B CN102469045 B CN 102469045B CN 201010533176 A CN201010533176 A CN 201010533176A CN 102469045 B CN102469045 B CN 102469045B
- Authority
- CN
- China
- Prior art keywords
- gateway
- address
- virtual
- web
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种提升WEB安全网关并发性能的方法。该方法部署在网关设备上,网关设备位于客户端与WEB站点服务器之间。该方法在一台物理网关上利用虚拟技术模拟多个虚拟网关,在宿主主机系统中运行数据分发组件,对HTTP请求数据包进行拦截转发处理,从而在一台物理设备上实现一个虚拟网关集群。该方法主要解决WEB安全网关中,由于应用层数据包处理速度慢,导致网关并发处理能力低下,系统硬件资源利用率不高的问题。
Description
技术领域
本发明一般地涉及WEB安全防护领域。更具体的,本发明涉及一种提升WEB安全网关并发性能的方法。
背景技术
随着互联网技术与应用的不断发展,WEB应用已经逐渐成为了现代人们生产生活不可缺失的一个方面,同时它也成为了互联网上的主要攻击目标。据统计,当前网络上75%的攻击是针对WEB应用的。这些攻击会导致网站声誉下降,带来经济损失甚至政治影响。
WEB安全网关是专门针对WEB安全威胁而产生的一种网关类安全产品。它内部的WEB安全检测引擎不是通过包过滤的手段实现安全防护,而是以代理的形式,完全解析客户端发送的HTTP请求数据包,然后进行安全检查,判断没有问题后,再与服务器端连接,重新发送HTTP请求,获取响应后再转发给客户端。数据包的处理过程核心都在应用层完成。
WEB安全网关往往是串接在网络中,因此其处理性能将直接影响整个网络的带宽、延时等性能指标。决定WEB安全网关的处理性能的因素无外乎两个:硬件资源以及软件执行效率。前者,随着硬件成本的不断下降提升较为容易。而后者,由于受到应用程序设计各方面的因素的影响,无法快速提升。因此,在实际环境中往往会出现的一个现象是,对于一台硬件配置较高的网关设备,在网络繁忙时,总是会出现丢包、延时、无法建立连接等问题,而系统的CPU、内存等资源利用率并没有达到最大化,甚至处于非常低的水平。高性能的硬件配置利用率不足,网关处理速度无法随着硬件性能的提高而大幅度提高,造成网关始终是网络中的瓶颈。
现有的解决方案大多是采用物理集群的方法,即利用多台物理网关设备,通过负载均衡技术将数据流分发到不同的网关上进行处理。但是这种方案的问题在于费用昂贵,能源消耗大,维护管理不方便,同时在某些网络环境中,多个机器还存在IP资源缺少的问题。
与此同时,随着虚拟技术的不断成熟,服务器整合已经成为产业界的一种趋势。在一台物理机器上运行多个虚拟机,由于不同的虚拟机有不同的繁忙和空闲时段,忙闲交错使得单个机器的系统资源利用率可以得到大大提高。因此在当前硬件性能不断提升,成本不断降低的背景下,实施服务器虚拟化具有重要的现实意义。
发明内容
本发明提供了一种提升WEB安全网关并发性能的方法。该方法主要解决WEB安全网关中,由于应用层数据包处理速度慢,导致网关并发处理能力低下,系统硬件资源利用率不高的问题。
本发明所述方法的技术方案是在一台物理网关设备上运行宿主主机系统,宿主主机系统中运行数据分发组件和多个虚拟机,每个虚拟机中运行WEB安全检测引擎从而构成一个虚拟网关。多个虚拟网关与宿主主机系统在一台物理网关设备上构成一个虚拟网关集群。
物理网关设备位于客户端与被保护的WEB站点服务器之间。
宿主主机系统与虚拟网关通过虚拟网络进行通信。宿主主机系统配置物理网关实际所处环境下的真实网络IP地址,可以直接与其他设备通信。每个虚拟网关配置不同的IP地址,也可以与物理网关所处网络环境中的设备通信。虚拟网络可以采用桥接方式建立,也可以采用地址转换的方式建立。如果采用桥接方式建立虚拟网络,所有的虚拟网关都需要配置真实网络中的IP地址。如果采用地址转换方式建立虚拟网络,所有的虚拟网关相对于宿主主机系统而言工作于内网环境下,通过地址转换后以宿主主机系统的IP地址与外部网络通信,这种情况下虚拟网关无需占用真实网络中的IP资源。
虚拟网关中的WEB安全检测引擎通过套接字接口(Socket)接收数据分发组件转发的HTTP请求数据包,检测HTTP数据流的安全情况,同时它可以主动连接WEB站点,发送HTTP请求并获取响应。
虚拟网关对于每一个被保护的WEB站点的IP地址和端口有唯一一个监听端口。一台物理网关设备上的多个虚拟网关对于同一WEB站点的IP地址及端口,采用相同的监听端口。
数据分发组件拦截客户端发往被保护WEB站点的HTTP请求数据包。为了保证HTTP会话的完整性,数据分发组件根据源地址散列(Source Hashing)负载调度算法选择合适的虚拟网关对数据包进行处理。数据分发组件记录被保护WEB站点的IP地址、端口和虚拟网关上的监听端口之间的对应关系。数据分发组件不处理虚拟网关发往被保护WEB站的HTTP请求数据包。
对于被保护WEB站点的HTTP数据流的具体处理步骤如下:
1.数据分发组件拦截客户端发往被保护WEB站点的HTTP请求数据包,根据源地址散列负载调度算法选择同一物理网关上的某一虚拟网关,修改数据包的目的IP地址与目的端口为该虚拟网关的IP地址以及监听端口,将数据包发送至该虚拟网关;
2.虚拟网关接收到HTTP请求后,首先根据获取当前数据包的监听端口得到对应的WEB站点的IP地址和端口,然后检查请求中是否存在安全威胁,如果存在,向客户端发出中止响应,中断本次连接,其中响应数据包的源IP地址及源端口为WEB站点的IP地址与端口,如果不存在威胁,则向对应的WEB站点发送相同的HTTP请求,其中源IP地址为虚拟网关自身的IP地址;
3.虚拟网关收到WEB站点的HTTP响应后,向客户端转发HTTP响应,其中响应数据包的源IP地址及源端口为WEB站点的IP地址与端口。
对于传统的WEB安全网关,其HTTP数据流处理示意图如图1所示。所有的数据包都由WEB安全网关中的一个安全引擎来分析处理,因此一个WEB安全检测引擎的处理速度将直接决定整个网关的数据传输速率以及并发连接数,从而影响整个网络的传输带宽及延时。
在本发明所述技术方案中,数据流的处理如图2所示。HTTP数据流进入网关后,由数据分发组件分配到多个的虚拟网关中进行处理。由于多个WEB安全检测引擎并行工作,所以网关的并发处理能力可以得到有效的提高,系统资源可以得到充分利用。同时,由于数据分发组件只对客户端发往WEB站点的HTTP请求数据包进行四层负载均衡,无状态保持,无记忆性,所以可以实现快速转发。
附图说明
图1是传统WEB安全网关的HTTP数据流处理过程示意图。
图2是本发明所述技术方案中HTTP数据流处理过程示意图。
图3是实施本发明所述方法的WEB安全网关装置的整体架构图。
图4是实施本发明所述方法的WEB安全网关装置的HTTP数据包处理流程图。
具体实施方式
下面通过附图并结合具体的实例来详述本发明的技术方案实施过程。
本发明所述技术方案实施于WEB安全网关装置,该装置的整体架构如图3所示。
宿主主机系统中运行数据分发组件及配置中心组件。数据分发组件负责拦截并处理客户端发往被保护WEB站的HTTP请求数据包。配置中心组件负责对一个WEB站点选择一个合适的监听端口,通过配置节点在每个虚拟网关中进行配置,同时将WEB站的IP地址、端口与监听端口之间的对应关系发布给数据分发组件。
虚拟控制器负责管理虚拟机,构建虚拟网络。
每个虚拟机中运行WEB安全检测引擎及配置节点,构成虚拟网关。
本发明所述WEB安全网关装置对于HTTP数据流的处理流程,按照图4所示实例进行描述。
该实例中客户端IP为192.168.1.2,WEB安全网关IP为192.168.1.1,需要保护的WEB站点服务器的IP为192.168.1.3,端口为80。WEB安全网关中运行三个虚拟网关。虚拟网络采用地址转换方式建立,三个虚拟网关的工作IP分别为:10.0.0.2,10.0.0.3,10.0.0.4。
虚拟网关中的WEB安全检测引擎都使用监听端口50000来处理发往192.168.1.3的80端口的HTTP请求数据包,并通过哈希表记录端口50000与保护站点192.168.1.3:80之间的对应关系。
数据分发组件也采用哈希表记录端口50000与保护站点192.168.1.3:80之间的对应关系。
网关装置具体的数据流处理过程如下:
1.客户端192.168.1.2向192.168.1.3的80端口发送HTTP请求;
2.数据分发组件在宿主主机中拦截客户端HTTP请求数据包,获取数据包的目的地址/目的端口:192.168.1.3/80,然后从哈希表中获取虚拟网关中的安全检测引擎的监听端口:50000。根据源地址散列负载调度算法选择虚拟网关2,修改数据包的目的地址/目的端口为10.0.0.3/80,将数据包发送给该虚拟网关;
3.虚拟网关2中的WEB安全检测引擎通过监听端口50000接收到HTTP请求数据包后,首先由本地端口50000得到对应的WEB站点的IP地址/端口:192.168.1.3/80。然后对请求数据包的内容进行分析,判断是否存在安全威胁,如果存在,向客户端返回中断响应,如HTTP协议404响应码,以中断本次连接,响应数据包的源地址/源端口设置为WEB站点的地址/端口:192.168.1.3/80,如果不存在威胁,则复制客户端的HTTP请求,向WEB站点192.168.1.3发送相同的HTTP请求,请求数据包的源地址为10.0.0.3,同时记录(客户端源IP,客户端源端口,虚拟网关监听端口,WEB站点IP,WEB站点端口,虚拟网关发送HTTP请求的源IP,虚拟网关发送HTTP请求的源端口)这个七元组;
4.虚拟网关2的WEB安全检测引擎获取WEB站点的HTTP响应,并根据响应数据包的目的IP及目的端口,从七元组中获得对应的客户端源IP与客户端源端口,这里响应数据包的目的IP及目的端口就是七元组中虚拟网关发送HTTP请求的源IP和源端口;
5.虚拟网关2的WEB安全检测引擎向客户端转发HTTP响应,响应数据包的源地址/源端口设置为WEB站点的地址/端口:192.168.1.3/80。
至此,如果客户端发送的HTTP请求没有安全威胁,则客户端可以接收到WEB站点正常的HTTP响应。如果客户端发送的HTTP请求存在安全威胁,则客户端会收到中止连接的响应,而WEB站点则不会接收到该请求,从而保护了WEB站点的安全。
Claims (10)
1.一种提升WEB安全网关并发性能的方法,在一台物理网关设备上运行宿主主机系统,宿主主机系统中运行数据分发组件和多个虚拟机,每个虚拟机中运行WEB安全检测引擎从而构成一个虚拟网关,客户端发往被保护WEB站点的HTTP数据包都经由数据分发组件处理,步骤如下:
数据分发组件拦截客户端发往被保护WEB站点的HTTP请求数据包,根据源地址散列负载调度算法选择同一物理网关上的某一虚拟网关,修改数据包的目的IP地址与目的端口为该虚拟网关的IP地址以及监听端口,将数据包发送至该虚拟网关;
虚拟网关接收到HTTP请求后,首先根据获取当前数据包的监听端口得到对应的WEB站点的IP地址和端口,然后检查请求中是否存在安全威胁,如果存在,向客户端发出中止响应,中断本次连接,其中响应数据包的源IP地址及源端口为WEB站点的IP地址与端口,如果不存在威胁,则向对应的WEB站点发送相同的HTTP请求,其中源IP地址为虚拟网关自身的IP地址;
虚拟网关收到WEB站点的HTTP响应后,向客户端转发HTTP响应,其中响应数据包的源IP地址及源端口为WEB站点的IP地址与端口。
2.如权利要求1所述的方法,其特征在于所述方法在一台物理网关设备上通过虚拟机运行多个虚拟网关。
3.如权利要求1所述的方法,其特征在于所述方法中的物理网关设备部署于客户端与WEB站点服务器之间。
4.如权利要求1所述的方法,其特征在于所述方法中的宿主主机系统与多个虚拟网关之间通过虚拟网络通信,虚拟网络的建立可以采用桥接方式也可以采用地址转换方式,每个虚拟网关配置不同的IP地址,可以与物理网关所处网络环境中的设备通信。
5.如权利要求1所述的方法,其特征在于所述方法中的WEB安全检测引擎通过套接字接口接收数据分发组件转发的HTTP请求数据包,检测HTTP数据流的安全情况,同时它可以主动连接WEB站点,发送HTTP请求并获取响应。
6.如权利要求1所述的方法,其特征在于所述方法中的虚拟网关对于每一个被保护的WEB站点的IP地址和端口有唯一一个监听端口。
7.如权利要求1所述的方法,其特征在于所述方法中位于一台物理网关设备上的多个虚拟网关对于同一个被保护的WEB站点采用相同的监听端口。
8.如权利要求1所述的方法,其特征在于所述方法中的数据分发组件拦截客户端发往被保护WEB站点的HTTP请求数据包,不包括虚拟网关发往被保护WEB站点的HTTP请求数据包。
9.如权利要求1所述的方法,其特征在于所述方法中的数据分发组件根据源地址散列负载调度算法选择接收数据包的虚拟网关,以保证HTTP会话的完整性。
10.如权利要求1所述的方法,其特征在于所述方法中的数据分发组件工作在传输层,将发往被保护WEB站点的HTTP请求数据包的目的IP地址与目的端口修改为所选择虚拟网关的IP地址及与该WEB站点对应的监听端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010533176.5A CN102469045B (zh) | 2010-11-05 | 2010-11-05 | 一种提升web安全网关并发性能的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010533176.5A CN102469045B (zh) | 2010-11-05 | 2010-11-05 | 一种提升web安全网关并发性能的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102469045A CN102469045A (zh) | 2012-05-23 |
CN102469045B true CN102469045B (zh) | 2015-04-08 |
Family
ID=46072232
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010533176.5A Active CN102469045B (zh) | 2010-11-05 | 2010-11-05 | 一种提升web安全网关并发性能的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102469045B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103024028B (zh) * | 2012-12-07 | 2015-05-13 | 武汉邮电科学研究院 | 一种云计算中虚拟机ip地址探测系统及方法 |
CN103124238B (zh) * | 2013-01-17 | 2015-09-16 | 深圳市共进电子股份有限公司 | 一种提高宽带路由器的管理页面登录安全性的方法 |
CN104917687B (zh) * | 2014-03-12 | 2018-07-13 | 华为技术有限公司 | 报文分流方法及装置 |
CN103929365B (zh) * | 2014-03-25 | 2019-05-14 | 格尔软件股份有限公司 | 一种适用于udp服务的负载均衡系统及方法 |
CN106453309B (zh) * | 2016-10-11 | 2020-04-17 | 北京天融信网络安全技术有限公司 | 一种安全审计的方法和pc终端 |
CN108400957A (zh) * | 2017-02-07 | 2018-08-14 | 蓝盾信息安全技术有限公司 | 一种基于检测系统的智能对抗Web漏洞扫描并实现自修复的方法 |
CN112911598A (zh) * | 2021-02-23 | 2021-06-04 | 上海锐伟电子科技有限公司 | 一种移动设备的网络防火墙管理方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1509030A (zh) * | 2002-12-16 | 2004-06-30 | 联想(北京)有限公司 | 网络安全设备多工作模式自适应的方法 |
CN101304322A (zh) * | 2008-06-30 | 2008-11-12 | 杭州华三通信技术有限公司 | 一种网络设备和报文转发方法 |
CN101878663A (zh) * | 2007-11-29 | 2010-11-03 | 瑞科网信科技有限公司 | 分布式多重处理安全网关的系统和方法 |
-
2010
- 2010-11-05 CN CN201010533176.5A patent/CN102469045B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1509030A (zh) * | 2002-12-16 | 2004-06-30 | 联想(北京)有限公司 | 网络安全设备多工作模式自适应的方法 |
CN101878663A (zh) * | 2007-11-29 | 2010-11-03 | 瑞科网信科技有限公司 | 分布式多重处理安全网关的系统和方法 |
CN101304322A (zh) * | 2008-06-30 | 2008-11-12 | 杭州华三通信技术有限公司 | 一种网络设备和报文转发方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102469045A (zh) | 2012-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102469045B (zh) | 一种提升web安全网关并发性能的方法 | |
CN102223365B (zh) | 基于ssl vpn网关集群的用户接入方法及其装置 | |
CN104104570B (zh) | Irf系统中的聚合处理方法及装置 | |
CN103179192B (zh) | 虚拟服务器迁移的报文转发方法、系统及nat服务设备 | |
CN104202409B (zh) | 一种负载均衡的ssl vpn设备集群系统及其工作方法 | |
CN107046542A (zh) | 一种在网络级采用硬件实现共识验证的方法 | |
CN104394224A (zh) | 一种负载均衡系统 | |
CN105554065A (zh) | 处理报文的方法、转换单元和应用单元 | |
CN105024855A (zh) | 分布式集群管理系统和方法 | |
CN103379184B (zh) | 网络业务访问的方法及系统 | |
CN104468358A (zh) | 分布式虚拟交换机系统的报文转发方法及设备 | |
CN104506408A (zh) | 基于sdn的数据传输的方法及装置 | |
US11153185B2 (en) | Network device snapshots | |
CN104780115A (zh) | 云计算环境中负载均衡方法及系统 | |
CN101035033A (zh) | 支持远程报文镜像的报文镜像方法和网络设备 | |
CN109698796A (zh) | 一种高性能网络负载均衡系统及其实现方法 | |
CN105556916A (zh) | 网络流的信息统计方法和装置 | |
CN106385334A (zh) | 呼叫中心系统及其异常检测及自恢复方法 | |
CN1917512B (zh) | 一种建立对等直连通道的方法 | |
CN103701928A (zh) | 应用于负载均衡器提高服务器和ssl网关运行效率的方法 | |
CN104168338A (zh) | 一种网络地址转换装置和方法 | |
CN103200117B (zh) | 一种负载均衡方法和装置 | |
CN103532863A (zh) | 一种实现软件堆叠的方法和装置 | |
CN105379210A (zh) | 一种数据流处理方法及装置 | |
CN107659930A (zh) | 一种ap接入控制方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C53 | Correction of patent for invention or patent application | ||
CB02 | Change of applicant information |
Address after: 100080 Beijing City, Haidian District Zhongguancun street, No. 19 gate tower B 16 floor North Wing Applicant after: Zhongke Information Security Common Technology National Engineering Research Center Co., Ltd. Address before: 100080 Beijing City, Haidian District Zhongguancun street, No. 19 gate tower B 16 floor North Wing Applicant before: Zhongke Zhengyang Information Security Technology Co., Ltd. |
|
COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: ZHONGKE ZHENGYANG INFORMATION SECURITY TECHNOLOGY CO., LTD. TO: NERCIS |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |