CN105871919A - 一种网络应用防火墙系统及其实现方法 - Google Patents
一种网络应用防火墙系统及其实现方法 Download PDFInfo
- Publication number
- CN105871919A CN105871919A CN201610409114.0A CN201610409114A CN105871919A CN 105871919 A CN105871919 A CN 105871919A CN 201610409114 A CN201610409114 A CN 201610409114A CN 105871919 A CN105871919 A CN 105871919A
- Authority
- CN
- China
- Prior art keywords
- user
- server
- network application
- analysis
- application firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络应用防火墙系统及其实现方法,该系统包括:客户端子系统,运行于互联网入口服务器上,用于接收来自外网的用户请求,并将用户请求特征与本地存储的黑白名单进行比对:当用户处于白名单中时,直接跳过后续逻辑,将用户请求转发给后端的应用服务器;当用户处于黑名单中时,中断用户请求;服务端子系统,用于实现实时数据分析与存储;通过向客户端子系统送入数据,按预先定义的分析逻辑进行实时统计分析,并对分析得到的结果进行存储;当分析结果达到预设的阈值时,自动触发加黑名单逻辑。采用本发明,能够实现复杂的用户端逻辑和提高可定制性,从而使其适于网络视频及直播业务。
Description
技术领域
本发明涉及网络防火墙技术,尤其涉及一种网络应用防火墙系统及其实现方法。
背景技术
近年来,随着移动互联网的普及,网络环境越来越呈现多样化,除了传统的宽带应用,越来越多的用户通过移动设备上网。但是,使用不同的网络环境、不同的网络设备,带给用户的体验可能是完全不同的,尤其是现在随着网络视频及直播业务的发展,其对网络质量的要求更高。因此,对通用的http请求进行扫描时和在网络视频及直播业务等环境下,均不可避免的需要用到网络防火墙,以对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。
传统的硬件防火墙系统,不仅价格昂贵,其内置的软件由于更多的需要考虑通用性以及性能,无法实现复杂的用户端逻辑。而常见的软件防火墙系统,不仅比较性能差,可定制性同样不好。因此,开发一款适用于网站应用的网络防火墙系统是非常必要的。
发明内容
有鉴于此,本发明的主要目的在于提供一种网络应用防火墙系统及其实现方法,以实现复杂的用户端逻辑和提高可定制性,从而使其更适于网络视频及直播业务。
为达到上述目的,本发明的技术方案是这样实现的:
一种网络应用防火墙系统,该系统包括客户端子系统和服务端子系统;其中:
所述客户端子系统,运行于互联网入口服务器上,用于接收来自外网的用户请求,并将用户请求特征与本地存储的黑白名单进行比对:当用户处于白名单中时,直接跳过后续逻辑,将用户请求转发给后端的应用服务器;当用户处于黑名单中时,中断用户请求;
所述服务端子系统,用于实现实时数据分析与存储;通过向客户端子系统送入数据,按预先定义的分析逻辑进行实时统计分析,并对分析得到的结果进行存储;当分析结果达到预设的阈值时,自动触发加黑名单逻辑。
其中,所述的用户请求特征,包括有用户的IP地址、访问端口、客户端用户代理(User-Agent)、访问的统一资源定位符(URL)地址及其参数、访问时间以及服务器相关的内容分发网络(CDN)服务器IP地址中的一种或多种信息。
所述后端的应用服务器,指服务原始请求的后端服务器。
所述客户端子系统将用户请求特征与本地存储的黑白名单进行比对,当用户既不在黑名单中、也不在白名单中时,则将来自外网的用户请求复制一份,异步发送给所述服务端子系统,同时原请求正常转发给后端的应用服务器。
所述服务端子系统的存储方式,是根据应用特点定制键值式的内存存储模式。
进一步包括管理端子系统,以支持实现对所述网络应用防火墙系统的各种管理功能。
所述管理端子系统,用于查询当前的黑/白名单、加减黑/白名单内容、查询活跃客户端、查询并修改触发封禁用户的阈值、接收服务器端自动封禁用户信息,并通知系统管理员。
一种网络应用防火墙系统的实现方法,该方法包括:
a、在互联网入口服务器上运行客户端子系统,接收来自外网的用户请求,并将用户请求特征与本地存储的黑白名单进行比对:当用户处于白名单中时,直接跳过后续逻辑,将用户请求转发给后端的应用服务器;当用户处于黑名单中时,中断用户请求;
b、运行用于实现实时数据分析与存储功能的服务端子系统,通过向客户端子系统送入数据,按预先定义的分析逻辑进行实时统计分析,并对分析得到的结果进行存储;当分析结果达到预设的阈值时,自动触发加黑名单逻辑。
进一步地,所述步骤a还包括:当用户既不在黑名单中、也不在白名单中时,则将来自外网的用户请求复制一份,异步发送给所述服务端子系统,同时原请求正常转发给后端的应用服务器。
所述步骤b后进一步包括:c、运行管理端子系统,执行查询当前的黑/白名单、加减黑/白名单、查询活跃客户端、查询并修改触发封禁用户的阈值、接收服务器端自动封禁用户信息的指令。
采用本发明的网络应用防火墙系统及其实现方法,具有如下有益效果:
本发明的服务端子系统,在进行实时数据分析与高效存储时,通过向客户端子系统送入数据,按预先定义的分析逻辑进行实时统计分析,并对分析得到的结果进行存储;当分析结果达到预设的阈值时,自动触发加黑名单逻辑。在上述的工作流程中,任意步骤的执行是各自独立的,无相互耦合,所有数据交换通过接口程序即可完成,从而极大提高了整体系统的响应速度和稳定性。此外,异步的数据分析,尽可能避免了对访问性能造成影响,高效率的分析,保证在出现问题时系统能够自动快速反馈,减小网络攻击的破坏。再通过管理端子系统辅以人工处理,避免了系统自动分析中出现错误不好订正的问题。从而实现了复杂的用户端逻辑和灵活的可定制性。
附图说明
图1为本发明网络应用防火墙系统的功能架构示意图;
图2为本发明网络应用防火墙系统的工作流程示意图之一;
图3为本发明网络应用防火墙系统的工作流程示意图之二。
具体实施方式
下面结合附图及本发明的实施例对本发明的网络应用防火墙系统及其实现方法作进一步详细的说明。
图1为本发明网络应用防火墙系统的功能架构示意图。如图1所示,所述的网络应用防火墙系统,主要包括:运行在互联网入口服务器上的客户端子系统、核心分析用的服务端子系统以及运行在管理服务器上的管理端子系统。
其中:运行互联网入口服务器上的所述客户端子系统,其接收来自外网的用户请求,并将用户请求特征与本地存储的黑白名单进行比对。当用户处于白名单中时,直接跳过后续逻辑,将用户请求转发给后端的应用服务器;当用户处于黑名单中时,中断用户请求;当用户处于其他情况(例如:既不在黑名单中,也不在白名单中)时,则将所述来自外网的用户请求复制一份,异步发送给所述的服务端子系统,同时原请求正常转发给后端的应用服务器。
这里,所述用户请求特征,即可获得的信息,包括但不限于:用户的IP地址、访问端口、客户端用户代理(User-Agent)、访问的统一资源定位符(Uniform Resource Locator,URL)地址及其参数、访问时间以及服务器相关的内容分发网络(Content Delivery Network,CDN)服务器IP地址等。所述后端的应用服务器,是服务原始请求的后端服务器,也可称为APP Server,是原始URL地址内容的生产方。
所述的服务端子系统,主要用于实现数据分析与高效的存储。通过向客户端子系统送入数据,按预先定义的分析逻辑进行实时统计分析,并对分析得到的结果进行高效存储。当分析结果达到预设的阈值时,自动触发加黑名单逻辑。还用于处理通过管理端子系统发送的各种管理请求,包括加减黑名单、加减白名单、查询并修改阈值、查询活跃客户端等功能。
这里,所述的高效存储,主要体现在本发明的服务端子系统不依赖文件及数据等传统的数据存储方式,而是根据应用特点定制键值(Key Value)式的内存存储模式。
所述的管理端子系统,支持实现对所述网络应用防火墙系统的各种管理功能。包括查询当前的黑/白名单、加减黑/白名单内容、查询活跃客户端、查询并修改触发封禁用户的阈值、接收服务器端自动封禁用户信息,并通知系统管理员等功能。此外,还用于向管理员提供查询报表。
本发明的网络应用防火墙系统提供的防火墙服务中,首先在客户端子系统通过旁路的方式异步收集访问数据,提交到服务端子系统后,服务端子系统通过计算并存储,并对达到阈值的用户进行自动封禁;同时,在管理端子系统,支持由系统管理员根据实际情况,对用户进行手工操作,并查看报告等功能。
这里,所述的阈值,举例来说,假设定义同一IP地址一分钟内访问量超过1000为阈值,达到时自动封禁此IP地址。该阈值在本发明的防火墙系统中有预设,在管理端子系统可以查看和修改。当然,阈值的定义可以是多种方式,本发明不作特别限定;此外,基于上述接收到的用户请求特征,理论上可以任意组合,根据实际情况设定阈值进行灵活使用。
这样,在上述的工作流程中,任意步骤的执行是各自独立的,无相互耦合,所有数据交换通过接口程序即可完成,从而极大提高了整体系统的响应速度和稳定性。此外,异步的数据分析,尽可能避免对访问性能造成影响,高效率的分析,保证在出现问题时系统能够自动快速反馈,减小网络攻击的破坏;再通过管理端子系统辅以人工处理,避免了系统自动分析中出现错误不好订正的问题。从而实现了复杂的用户端逻辑和灵活的可定制性,使其适于网络视频及直播业务。
图2为本发明网络应用防火墙系统的工作流程示意图之一。如图2所示,在网站应用机房的互联网入口处,增设一组服务器,运行本发明的网络应用防火墙系统的客户端子系统。客户端子系统接收来自外网的用户请求,将用户请求特征(如用户的IP地址、访问端口、客户端User-Agent、URL地址及其参数、访问时间以及服务器相关的CDN服务器IP等信息)与本地存储的网络白名单、黑名单比对:
1)当用户处于白名单中时,直接跳过后续逻辑,将用户请求转发给后端的应用服务器;
2)当用户处于黑名单中时,直接中断用户请求;
3)其他情况下,将请求复制一份,发送给本发明的防火墙系统的服务端子系统,原请求正常转发给后端服务器。此时,对于原应用服务器和原网络来说,本防火墙系统对该用户请求是“透明”的,即不需要对原服务进行任何修改,因而不会影响其稳定性,对原应用服务器和网络性能的影响也会降到最低。
需要注意的是,这里的“增设”指的是逻辑上的添加,实际实现中,应该与本网站现在的负载均衡系统及缓存系统集成,从而避免增加系统物理层级,以减少对应用性能的影响。
图3为本发明网络应用防火墙系统的工作流程示意图之二。本发明的网络应用防火墙系统的服务端子系统,其核心是一个高效的数据计算及存储引擎。
如图3所示,当接收到来自客户端子系统的统计数据后,服务端子系统根据预先定义好的逻辑对数据进行分析计算,当计算结果达到预定义的阈值时,则自动加入黑名单,否则继续存储。同时,服务端子系统通过管理接口接收来自管理端子系统的请求,包括加减黑名单,查询修改阈值,查询当前活跃客户端列表,查询黑名单,查询白名单等。当黑名单和白名单产生变化时,自动触发广播逻辑,将新的黑/白名单发给所有活跃的客户端,当检测到黑名单或/和白名单的变化不是由管理端子系统发起的,则汇报给管理端子系统。
这里,所述的管理端子系统,向系统管理员提供可视化的操作界面,提供服务端子系统允许的各种查询功能,提供管理员服务端子系统发送的所有报告汇总统计,还提供可视化的操作接口以便管理员方便地管理服务端子系统的功能。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1.一种网络应用防火墙系统,其特征在于,该系统包括客户端子系统和服务端子系统;其中:
所述客户端子系统,运行于互联网入口服务器上,用于接收来自外网的用户请求,并将用户请求特征与本地存储的黑白名单进行比对:当用户处于白名单中时,直接跳过后续逻辑,将用户请求转发给后端的应用服务器;当用户处于黑名单中时,中断用户请求;
所述服务端子系统,用于实现实时数据分析与存储;通过向客户端子系统送入数据,按预先定义的分析逻辑进行实时统计分析,并对分析得到的结果进行存储;当分析结果达到预设的阈值时,自动触发加黑名单逻辑。
2.根据权利要求1所述的网络应用防火墙系统,其特征在于,所述的用户请求特征,包括有用户的IP地址、访问端口、客户端用户代理User-Agent、访问的统一资源定位符URL地址及其参数、访问时间以及服务器相关的内容分发网络CDN服务器IP地址中的一种或多种信息。
3.根据权利要求1所述的网络应用防火墙系统,其特征在于,所述后端的应用服务器,指服务原始请求的后端服务器。
4.根据权利要求1所述的网络应用防火墙系统,其特征在于,所述客户端子系统将用户请求特征与本地存储的黑白名单进行比对,当用户既不在黑名单中、也不在白名单中时,则将来自外网的用户请求复制一份,异步发送给所述服务端子系统,同时原请求正常转发给后端的应用服务器。
5.根据权利要求1所述的网络应用防火墙系统,其特征在于,所述服务端子系统的存储方式,是根据应用特点定制键值式的内存存储模式。
6.根据权利要求1~5任一所述的网络应用防火墙系统,其特征在于,进一步包括管理端子系统,以支持实现对所述网络应用防火墙系统的各种管理功能。
7.根据权利要求6所述的网络应用防火墙系统,其特征在于,所述管理端子系统,用于查询当前的黑/白名单、加减黑/白名单内容、查询活跃客户端、查询并修改触发封禁用户的阈值、接收服务器端自动封禁用户信息,并通知系统管理员。
8.一种网络应用防火墙系统的实现方法,其特征在于,该方法包括:
a、在互联网入口服务器上运行客户端子系统,接收来自外网的用户请求,并将用户请求特征与本地存储的黑白名单进行比对:当用户处于白名单中时,直接跳过后续逻辑,将用户请求转发给后端的应用服务器;当用户处于黑名单中时,中断用户请求;
b、运行用于实现实时数据分析与存储功能的服务端子系统,通过向客户端子系统送入数据,按预先定义的分析逻辑进行实时统计分析,并对分析得到的结果进行存储;当分析结果达到预设的阈值时,自动触发加黑名单逻辑。
9.根据权利要求8所述的网络应用防火墙系统的实现方法,其特征在于,所述步骤a进一步包括:当用户既不在黑名单中、也不在白名单中时,则将来自外网的用户请求复制一份,异步发送给所述服务端子系统,同时原请求正常转发给后端的应用服务器。
10.根据权利要求8所述的网络应用防火墙系统的实现方法,其特征在于,所述步骤b后进一步包括:
c、运行管理端子系统,执行查询当前的黑/白名单、加减黑/白名单、查询活跃客户端、查询并修改触发封禁用户的阈值、接收服务器端自动封禁用户信息的指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610409114.0A CN105871919A (zh) | 2016-06-12 | 2016-06-12 | 一种网络应用防火墙系统及其实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610409114.0A CN105871919A (zh) | 2016-06-12 | 2016-06-12 | 一种网络应用防火墙系统及其实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105871919A true CN105871919A (zh) | 2016-08-17 |
Family
ID=56649242
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610409114.0A Pending CN105871919A (zh) | 2016-06-12 | 2016-06-12 | 一种网络应用防火墙系统及其实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105871919A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106921873A (zh) * | 2017-02-28 | 2017-07-04 | 北京小米移动软件有限公司 | 直播控制方法及装置 |
CN108494771A (zh) * | 2018-03-23 | 2018-09-04 | 平安科技(深圳)有限公司 | 电子装置、防火墙开通验证方法及存储介质 |
CN111147498A (zh) * | 2019-12-28 | 2020-05-12 | 浙江物产信息技术有限公司 | 一种自动同步ip地址黑名单的装置及方法 |
CN111193692A (zh) * | 2018-11-15 | 2020-05-22 | 北京金山云网络技术有限公司 | 请求响应方法、装置、边缘节点和鉴权系统 |
CN111866096A (zh) * | 2020-07-02 | 2020-10-30 | 广州市挖米科技有限责任公司 | 一种用于医疗系统的负载均衡方法及装置 |
CN112506774A (zh) * | 2020-12-03 | 2021-03-16 | 中国人寿保险股份有限公司 | 一种可测性优化方法、装置、电子设备及存储介质 |
CN113067808A (zh) * | 2021-03-15 | 2021-07-02 | 上海哔哩哔哩科技有限公司 | 数据处理方法、直播方法、鉴权服务器及直播数据服务器 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6098069A (en) * | 1997-03-17 | 2000-08-01 | Sharp Kabushiki Kaisha | Data managing method and data managing device using the same for manipulating data independently from networks |
CN102170447A (zh) * | 2011-04-29 | 2011-08-31 | 南京邮电大学 | 一种基于最近邻及相似度测量检测钓鱼网页的方法 |
CN102739679A (zh) * | 2012-06-29 | 2012-10-17 | 东南大学 | 一种基于url分类的钓鱼网站检测方法 |
CN102932348A (zh) * | 2012-10-30 | 2013-02-13 | 常州大学 | 一种钓鱼网站的实时检测方法及系统 |
-
2016
- 2016-06-12 CN CN201610409114.0A patent/CN105871919A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6098069A (en) * | 1997-03-17 | 2000-08-01 | Sharp Kabushiki Kaisha | Data managing method and data managing device using the same for manipulating data independently from networks |
CN102170447A (zh) * | 2011-04-29 | 2011-08-31 | 南京邮电大学 | 一种基于最近邻及相似度测量检测钓鱼网页的方法 |
CN102739679A (zh) * | 2012-06-29 | 2012-10-17 | 东南大学 | 一种基于url分类的钓鱼网站检测方法 |
CN102932348A (zh) * | 2012-10-30 | 2013-02-13 | 常州大学 | 一种钓鱼网站的实时检测方法及系统 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106921873A (zh) * | 2017-02-28 | 2017-07-04 | 北京小米移动软件有限公司 | 直播控制方法及装置 |
CN108494771A (zh) * | 2018-03-23 | 2018-09-04 | 平安科技(深圳)有限公司 | 电子装置、防火墙开通验证方法及存储介质 |
CN108494771B (zh) * | 2018-03-23 | 2021-04-23 | 平安科技(深圳)有限公司 | 电子装置、防火墙开通验证方法及存储介质 |
CN111193692A (zh) * | 2018-11-15 | 2020-05-22 | 北京金山云网络技术有限公司 | 请求响应方法、装置、边缘节点和鉴权系统 |
CN111147498A (zh) * | 2019-12-28 | 2020-05-12 | 浙江物产信息技术有限公司 | 一种自动同步ip地址黑名单的装置及方法 |
CN111147498B (zh) * | 2019-12-28 | 2021-05-18 | 物产中大数字科技有限公司 | 一种自动同步ip地址黑名单的装置及方法 |
CN111866096A (zh) * | 2020-07-02 | 2020-10-30 | 广州市挖米科技有限责任公司 | 一种用于医疗系统的负载均衡方法及装置 |
CN112506774A (zh) * | 2020-12-03 | 2021-03-16 | 中国人寿保险股份有限公司 | 一种可测性优化方法、装置、电子设备及存储介质 |
CN113067808A (zh) * | 2021-03-15 | 2021-07-02 | 上海哔哩哔哩科技有限公司 | 数据处理方法、直播方法、鉴权服务器及直播数据服务器 |
CN113067808B (zh) * | 2021-03-15 | 2022-07-05 | 上海哔哩哔哩科技有限公司 | 数据处理方法、直播方法、鉴权服务器及直播数据服务器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105871919A (zh) | 一种网络应用防火墙系统及其实现方法 | |
CN103329113B (zh) | 配置用于分级高速缓存的代理服务器以及动态站点加速和自定义对象和相关的方法 | |
US9251211B2 (en) | Generation of a query plan for accessing a database | |
CN106797410A (zh) | 域名解析方法和装置 | |
CN108616490A (zh) | 一种网络访问控制方法、装置及系统 | |
CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
CN103685590B (zh) | 获取ip地址的方法及系统 | |
CN102752300B (zh) | 动态防盗链系统和动态防盗链方法 | |
CN104683313B (zh) | 多媒体业务处理装置、方法及系统 | |
CN108509523A (zh) | 区块链数据的结构化处理方法、设备及可读存储介质 | |
CN102055813A (zh) | 一种网络应用的访问控制方法及其装置 | |
CN103957282B (zh) | 一种域内终端用户域名解析加速系统及其方法 | |
CN107846483A (zh) | 一种域名解析方法、系统和服务器 | |
CN112600868A (zh) | 域名解析方法、域名解析装置及电子设备 | |
CN104933069A (zh) | 一种桌面终端上网浏览统计的分析方法和系统 | |
CN110351288A (zh) | 一种一个产品含有多个栏目的数据推送方法 | |
US20170272475A1 (en) | Client identification for enforcing computer resource quotas | |
CN107508914A (zh) | 一种基于云计算分析的消息精准推送方法和系统 | |
CN102780791A (zh) | 一种自适应ip的方法、装置以及系统 | |
CN106411819A (zh) | 一种识别代理互联网协议地址的方法及装置 | |
CN102754488A (zh) | 用户访问的控制方法、装置及系统 | |
US9692761B2 (en) | System and method for controlling a DNS request | |
US10129320B2 (en) | QoS improvement method, apparatus, and system | |
CN102761576B (zh) | 彩铃Web系统防止恶意订购铃音的方法及服务器 | |
US7441086B2 (en) | Data caching method and computer-readable medium storing a program executing the method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160817 |