CN105391703A - 一种基于云的web应用防火墙系统及其安全防护方法 - Google Patents
一种基于云的web应用防火墙系统及其安全防护方法 Download PDFInfo
- Publication number
- CN105391703A CN105391703A CN201510724125.3A CN201510724125A CN105391703A CN 105391703 A CN105391703 A CN 105391703A CN 201510724125 A CN201510724125 A CN 201510724125A CN 105391703 A CN105391703 A CN 105391703A
- Authority
- CN
- China
- Prior art keywords
- web application
- cloud
- firewall
- application firewall
- firewall system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于云的WEB应用防火墙系统,该WEB应用防火墙系统由云防火墙引擎和防火墙控制中心组成;其中,防火墙控制中心对云防火墙引擎进行配置和管理;云防火墙引擎部署在由多台可扩展的高性能服务器组成的云上;云防火墙引擎对应用层的攻击进行检测和拦截。与现有技术相比,本发明具有如下有益效果:1、本发明的WEB应用防火墙系统部署,只需用户重新配置DNS指向就生效,方便快捷;2、由WEB应用防火墙系统提供商的安全员统一配置升级,比传统WEB应用防火墙能更早的拦截新型攻击;3、WEB应用防火墙系统性能出现瓶颈,只需购买更多的云资源,无需重新购买设备重新部署。本发明同时提供了使用上述WEB应用防火墙系统的安全防护方法。
Description
技术领域
本发明涉及一种基于云的WEB应用防火墙系统及其安全防护方法。
背景技术
目前,传统的网络层防火墙无法拦截应用层(如http)的攻击,企业一般都需要部署WEB应用防火墙(WAF)来检测并拦截应用层的攻击,WEB应用防火墙一般有两种,一种是软件产品,无需对网络改造,直接安装在WEB应用服务器上,由于WEB应用防火墙性能依赖WEB应用服务器性能,且对WEB应用服务器的操作系统有要求,所以一般在小型WEB应用上使用;另外一种是硬件产品,需对网络进行改造,把硬件的WEB应用防火墙串联到网络中。
中国专利申请201110347688.7公开了一种WEB应用防火墙和WEB应用安全防护方法。该WEB应用防火墙包括中心防火墙节点和多个从防火墙节点,其中,中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一;从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。本发明WEB应用安全防护方法包括中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一;从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。
根据以上方法部署的WEB应用防火墙,存在以下问题:
1、成本问题,传统的WEB应用防火墙,一般是一个WEB应用系统使用一套WEB应用防火墙。
2、易用性,WEB应用防火墙部署安装,需要产品厂商专业人员部署安装,非专业人员比较难操作;
3、升级维护,由于应用层攻击的方法层出不穷,WEB应用防火墙的规则库也需要及时更新才能有效拦截应用层的攻击,传统的WEB应用防火墙一般是通过维护人员手工升级,但很多企业人员紧缺,所以规则库有的半年一年才升级一次,有的甚至从不升级。
4、性能,传统的WEB应用防火墙存在性能的瓶颈,如需提高WEB应用防火墙的性能,需要重新购买处理性能更佳的WEB应用防火墙来代替现有WEB应用防火墙,造成资源浪费。
发明内容
针对现有技术存在的问题,本发明的目的是提供一种基于云的WEB应用防火墙系统及其安全防护方法。
为了实现上述目的,本发明提供了一种基于云的WEB应用防火墙系统,该WEB应用防火墙系统由云防火墙引擎和防火墙控制中心组成;
其中,防火墙控制中心对云防火墙引擎进行配置和管理;
云防火墙引擎部署在由多台可扩展的高性能服务器组成的云上;云防火墙引擎对应用层的攻击进行检测和拦截。
本发明的WEB应用防火墙系统根据用户申请的资源情况,为用户分配不同的计算资源。
本发明的WEB应用防火墙系统的使用及维护需注意如下事项:
1、用户根据web应用系统的访问量增加,向云WEB应用防火墙提供商购买新的计算资源,无需购买新设备和重新部署;
2、规则升级更新,当出现新的攻击手段时,由安全研究员统一更新总的检测规则,无需用户自己去更新;
3、当有web应用系统增加时,用户只需配置新系统的域名的NS记录或者CNAME记录。
根据本发明另一具体实施方式,WEB应用防火墙系统的检测规则包括总检测规则(root_rules)和私有检测规则(private_rules);
总检测规则由WEB应用防火墙系统所有者的安全人员维护更新(对于一些公开或未公开的新的攻击手段);
私有检测规则为每个WEB应用防火墙系统的用户根据自己业务系统的需求所制定的特别的检测规则。
根据本发明另一具体实施方式,当出现新的攻击手段时,由WEB应用防火墙系统所有者的安全人员统一更新所述总检测规则。
根据本发明另一具体实施方式,用户使用WEB应用防火墙系统时,将网站解析权交给防火墙控制中心;网站解析权,是指配置域名的NS记录或者CNAME记录的权力。
根据本发明另一具体实施方式,用户重新配置DNS指向后,WEB应用防火墙系统的部署安装生效。
根据本发明另一具体实施方式,当有web应用系统增加时,用户配置新系统的域名NS记录或者CNAME记录。
另一方面,本发明提供了使用上述WEB应用防火墙系统的安全防护方法,该安全防护方法包括如下步骤:
A、用户通过域名发出访问网站,防火墙控制中心返回云防火墙引擎的IP地址;
B、访问云防火墙引擎的IP,云防火墙引擎使用总检测规则和私有检测规则对访问请求进清除过滤;
C、云防火墙引擎向真实的应用服务器发起过滤后的安全请求,最后把请求的结果返回给用户。
与现有技术相比,本发明具有如下有益效果:
1、部署方式:传统的WEB应用防火墙是硬件设备或者软件产品,部署安装时,要么需要对网络改造,要么要对应用主机进行安装配置,都会对现在的网络或者设备有影响;本发明WEB应用防火墙系统部署,只需用户重新配置DNS指向就生效,方便快捷。
2、维护升级:由WEB应用防火墙系统提供商的安全员统一配置升级,比传统WEB应用防火墙能更早的拦截新型攻击。
3、性能:WEB应用防火墙系统性能出现瓶颈,只需购买更多的云资源,无需重新购买设备重新部署。
附图说明
图1为使用实施例1的WEB应用防火墙系统的安全防护方法的流程图。
具体实施方式
实施例1
本实施例的基于云的WEB应用防火墙系统由云防火墙引擎和防火墙控制中心组成;其中,防火墙控制中心对云防火墙引擎进行配置和管理;云防火墙引擎部署在由多台可扩展的高性能服务器组成的云上;云防火墙引擎对应用层的攻击进行检测和拦截。WEB应用防火墙系统的检测规则分为总检测规则(root_rules)和私有检测规则(private_rules),总检测规则由云WEB应用防火墙所有者的安全人员维护更新(对于一些公开或未公开的新的攻击手段),同时,每个云WEB应用防火墙用户也可以根据自己业务系统的需求制定特别的检测规则。
WEB应用防火墙系统根据用户申请的资源情况,为用户分配不同的计算资源。用户使用云WEB应用防火墙,只需要把网站的解析权交给云WEB应用防火墙控制中心,也就是配置域名的NS记录或者CNAME记录。
如图1所示,使用上述WEB应用防火墙系统的安全防护方法,包括如下步骤:
A、用户通过域名发出访问网站,防火墙控制中心返回云防火墙引擎的IP地址;
B、访问云防火墙引擎的IP,云防火墙引擎使用总检测规则和私有检测规则对访问请求进清除过滤;
C、云防火墙引擎向真实的应用服务器发起过滤后的安全请求,最后把请求的结果返回给用户。
本实施例的WEB应用防火墙系统的使用及维护需注意如下事项:
1、用户根据web应用系统的访问量增加,向云WEB应用防火墙提供商购买新的计算资源,无需购买新设备和重新部署;
2、规则升级更新,当出现新的攻击手段时,由安全研究员统一更新总的检测规则,无需用户自己去更新;
3、当有web应用系统增加时,用户只需配置新系统的域名的NS记录或者CNAME记录。
本实施例的WEB应用防火墙系统具有如下有益效果:
1、部署方式:传统的WEB应用防火墙是硬件设备或者软件产品,部署安装时,要么需要对网络改造,要么要对应用主机进行安装配置,都会对现在的网络或者设备有影响;本实施例的WEB应用防火墙系统部署,只需用户重新配置DNS指向就生效,方便快捷;
2、维护升级:由WEB应用防火墙系统提供商的安全员统一配置升级,比传统WEB应用防火墙能更早的拦截新型攻击;
3、性能:WEB应用防火墙系统性能出现瓶颈,只需购买更多的云资源,无需重新购买设备重新部署。
以上是对本发明做的示例性描述,凡在不脱离本发明核心的情况下做出的简单变形或修改均落入本发明的保护范围。
Claims (7)
1.一种基于云的WEB应用防火墙系统,其特征在于,所述WEB应用防火墙系统由云防火墙引擎和防火墙控制中心组成;
其中,所述防火墙控制中心对所述云防火墙引擎进行配置和管理;
所述云防火墙引擎部署在由多台可扩展的高性能服务器组成的云上;所述云防火墙引擎对应用层的攻击进行检测和拦截。
2.如权利要求1所述的WEB应用防火墙系统,其特征在于,所述WEB应用防火墙系统的检测规则包括总检测规则和私有检测规则;
所述总检测规则由所述WEB应用防火墙系统所有者的安全人员维护更新;
所述私有检测规则为每个所述WEB应用防火墙系统的用户根据自己业务系统的需求所制定的特别的检测规则。
3.如权利要求2所述的WEB应用防火墙系统,其特征在于,当出现新的攻击手段时,由所述WEB应用防火墙系统所有者的安全人员统一更新所述总检测规则。
4.如权利要求1所述的WEB应用防火墙系统,其特征在于,用户使用所述WEB应用防火墙系统时,将网站解析权交给防火墙控制中心;所述网站解析权,是指配置域名的NS记录或者CNAME记录的权力。
5.如权利要求1所述的WEB应用防火墙系统,其特征在于,用户重新配置DNS指向后,所述WEB应用防火墙系统的部署安装生效。
6.如权利要求1所述的WEB应用防火墙系统,其特征在于,当有web应用系统增加时,用户配置新系统的域名NS记录或者CNAME记录。
7.使用权利要求1-6之一所述WEB应用防火墙系统的安全防护方法,其特征在于,所述安全防护方法包括如下步骤:
A、用户通过域名发出访问网站,所述防火墙控制中心返回所述云防火墙引擎的IP地址;
B、访问所述云防火墙引擎的IP,所述云防火墙引擎使用所述总检测规则和所述私有检测规则对访问请求进清除过滤;
C、所述云防火墙引擎向真实的应用服务器发起过滤后的安全请求,最后把请求的结果返回给用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510724125.3A CN105391703B (zh) | 2015-10-28 | 2015-10-28 | 一种基于云的web应用防火墙系统及其安全防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510724125.3A CN105391703B (zh) | 2015-10-28 | 2015-10-28 | 一种基于云的web应用防火墙系统及其安全防护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105391703A true CN105391703A (zh) | 2016-03-09 |
| CN105391703B CN105391703B (zh) | 2019-02-12 |
Family
ID=55423539
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510724125.3A Active CN105391703B (zh) | 2015-10-28 | 2015-10-28 | 一种基于云的web应用防火墙系统及其安全防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105391703B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254388A (zh) * | 2016-09-22 | 2016-12-21 | 安徽云图信息技术有限公司 | 云计算环境下的访问控制技术 |
| CN106993006A (zh) * | 2017-06-16 | 2017-07-28 | 郑州云海信息技术有限公司 | 一种云平台上web防火墙的实现方法 |
| CN107205006A (zh) * | 2016-03-18 | 2017-09-26 | 上海有云信息技术有限公司 | 一种面向网站集约化建设的统一Web安全防护方法 |
| CN107204963A (zh) * | 2016-03-18 | 2017-09-26 | 上海有云信息技术有限公司 | 云计算模式下的高可靠性web安全防护实现方法 |
| CN107835179A (zh) * | 2017-11-14 | 2018-03-23 | 山东超越数控电子股份有限公司 | 一种基于虚拟化容器的应用程序防护方法与装置 |
| CN108494766A (zh) * | 2018-03-21 | 2018-09-04 | 北京知道创宇信息技术有限公司 | Waf规则管理方法及waf群组 |
| CN109167754A (zh) * | 2018-07-26 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种网络应用层安全防护系统 |
| WO2019109522A1 (zh) * | 2017-12-08 | 2019-06-13 | 平安科技(深圳)有限公司 | 云产品故障处理方法、装置、设备及计算机可读存储介质 |
| CN110177113A (zh) * | 2019-06-06 | 2019-08-27 | 北京奇艺世纪科技有限公司 | 互联网防护系统及访问请求处理方法 |
| CN111917742A (zh) * | 2020-07-15 | 2020-11-10 | 北京钛星数安科技有限公司 | 终端网页浏览隔离保护系统 |
| CN111917704A (zh) * | 2020-04-28 | 2020-11-10 | 北京长亭未来科技有限公司 | Web应用服务器安全防护方法、装置、系统及电子设备 |
| CN114257566A (zh) * | 2020-09-11 | 2022-03-29 | 北京金山云网络技术有限公司 | 域名访问方法、装置和电子设备 |
| CN115296932A (zh) * | 2022-09-30 | 2022-11-04 | 北京知其安科技有限公司 | 检测waf拦截有效性的方法、装置以及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101789947A (zh) * | 2010-02-21 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
| CN102111420A (zh) * | 2011-03-16 | 2011-06-29 | 上海电机学院 | 基于动态云火墙联动的智能nips架构 |
| CN104113522A (zh) * | 2014-02-20 | 2014-10-22 | 西安未来国际信息股份有限公司 | 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计 |
| CN104601530A (zh) * | 2013-10-31 | 2015-05-06 | 中兴通讯股份有限公司 | 云安全服务的实现方法及系统 |
-
2015
- 2015-10-28 CN CN201510724125.3A patent/CN105391703B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101789947A (zh) * | 2010-02-21 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
| CN102111420A (zh) * | 2011-03-16 | 2011-06-29 | 上海电机学院 | 基于动态云火墙联动的智能nips架构 |
| CN104601530A (zh) * | 2013-10-31 | 2015-05-06 | 中兴通讯股份有限公司 | 云安全服务的实现方法及系统 |
| CN104113522A (zh) * | 2014-02-20 | 2014-10-22 | 西安未来国际信息股份有限公司 | 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107205006A (zh) * | 2016-03-18 | 2017-09-26 | 上海有云信息技术有限公司 | 一种面向网站集约化建设的统一Web安全防护方法 |
| CN107204963A (zh) * | 2016-03-18 | 2017-09-26 | 上海有云信息技术有限公司 | 云计算模式下的高可靠性web安全防护实现方法 |
| CN106254388A (zh) * | 2016-09-22 | 2016-12-21 | 安徽云图信息技术有限公司 | 云计算环境下的访问控制技术 |
| CN106993006A (zh) * | 2017-06-16 | 2017-07-28 | 郑州云海信息技术有限公司 | 一种云平台上web防火墙的实现方法 |
| CN107835179A (zh) * | 2017-11-14 | 2018-03-23 | 山东超越数控电子股份有限公司 | 一种基于虚拟化容器的应用程序防护方法与装置 |
| WO2019109522A1 (zh) * | 2017-12-08 | 2019-06-13 | 平安科技(深圳)有限公司 | 云产品故障处理方法、装置、设备及计算机可读存储介质 |
| CN108494766A (zh) * | 2018-03-21 | 2018-09-04 | 北京知道创宇信息技术有限公司 | Waf规则管理方法及waf群组 |
| CN109167754B (zh) * | 2018-07-26 | 2021-03-02 | 北京计算机技术及应用研究所 | 一种网络应用层安全防护系统 |
| CN109167754A (zh) * | 2018-07-26 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种网络应用层安全防护系统 |
| CN110177113A (zh) * | 2019-06-06 | 2019-08-27 | 北京奇艺世纪科技有限公司 | 互联网防护系统及访问请求处理方法 |
| CN110177113B (zh) * | 2019-06-06 | 2021-08-31 | 北京奇艺世纪科技有限公司 | 互联网防护系统及访问请求处理方法 |
| CN111917704A (zh) * | 2020-04-28 | 2020-11-10 | 北京长亭未来科技有限公司 | Web应用服务器安全防护方法、装置、系统及电子设备 |
| CN111917742A (zh) * | 2020-07-15 | 2020-11-10 | 北京钛星数安科技有限公司 | 终端网页浏览隔离保护系统 |
| CN111917742B (zh) * | 2020-07-15 | 2022-07-08 | 北京钛星数安科技有限公司 | 终端网页浏览隔离保护系统 |
| CN114257566A (zh) * | 2020-09-11 | 2022-03-29 | 北京金山云网络技术有限公司 | 域名访问方法、装置和电子设备 |
| CN115296932A (zh) * | 2022-09-30 | 2022-11-04 | 北京知其安科技有限公司 | 检测waf拦截有效性的方法、装置以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105391703B (zh) | 2019-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105391703A (zh) | 一种基于云的web应用防火墙系统及其安全防护方法 | |
| US20200259858A1 (en) | Identifying security actions based on computing asset relationship data | |
| EP3362938B1 (en) | Automated construction of network whitelists using host-based security controls | |
| US10826872B2 (en) | Security policy for browser extensions | |
| US8640239B2 (en) | Network intrusion detection in a network that includes a distributed virtual switch fabric | |
| CN104506525B (zh) | 防止恶意抓取的方法和防护装置 | |
| US10404747B1 (en) | Detecting malicious activity by using endemic network hosts as decoys | |
| US11323453B2 (en) | Data processing method, device, access control system, and storage media | |
| EP3611900B1 (en) | Device discovery for cloud-based network security gateways | |
| CN104506538B (zh) | 机器学习型域名系统安全防御方法和装置 | |
| US10243985B2 (en) | System and methods thereof for monitoring and preventing security incidents in a computerized environment | |
| CN101854335A (zh) | 一种过滤的方法、系统及网络设备 | |
| US20140359697A1 (en) | Active Security Defense for Software Defined Network | |
| CN102043917A (zh) | 云系统分布式拒绝服务攻击防护方法以及装置和系统 | |
| GB201206935D0 (en) | Discovery of suspect ip addresses | |
| CN109413069B (zh) | 基于区块链的虚拟网站防火墙的应用方法及装置 | |
| CN104363253A (zh) | 网站安全检测方法与装置 | |
| JP2018110388A (ja) | 反射型ddosトラフィックの分散方法及びそのシステム | |
| Brown et al. | Honeypots in the Cloud | |
| CN104378389A (zh) | 网站安全检测方法与装置 | |
| CN104363252A (zh) | 网站安全检测方法与装置 | |
| JP2015179416A (ja) | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム | |
| Cao et al. | Hey, you, keep away from my device: remotely implanting a virus expeller to defeat Mirai on IoT devices | |
| CN106789892B (zh) | 一种云平台通用的防御分布式拒绝服务攻击的方法 | |
| CN105338017A (zh) | 一种web防御方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210601 Address after: 510670 3rd, 4th and 5th floors of building J1 and 3rd floor of building J3, No.11 Kexiang Road, Science City, Luogang District, Guangzhou City, Guangdong Province Patentee after: China Southern Power Grid Research Institute Co.,Ltd. Address before: 510080 West Tower 13-20 Floor, Shui Jungang 6 and 8 Dongfeng East Road, Yuexiu District, Guangzhou City, Guangdong Province Patentee before: China Southern Power Grid Research Institute Co.,Ltd. Patentee before: CSG POWER GRID TECHNOLOGY RESEARCH CENTER |
|
| TR01 | Transfer of patent right |