CN107426206A - 一种对web服务器的防护装置和方法 - Google Patents
一种对web服务器的防护装置和方法 Download PDFInfo
- Publication number
- CN107426206A CN107426206A CN201710581510.6A CN201710581510A CN107426206A CN 107426206 A CN107426206 A CN 107426206A CN 201710581510 A CN201710581510 A CN 201710581510A CN 107426206 A CN107426206 A CN 107426206A
- Authority
- CN
- China
- Prior art keywords
- web
- web application
- fire wall
- node
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1023—Server selection for load balancing based on a hash applied to IP addresses or costs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1029—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers using data related to the state of servers by a load balancer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1031—Controlling of the operation of servers by a load balancer, e.g. adding or removing servers that serve requests
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1034—Reaction to server failures by a load balancer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及对web服务器的防护装置和方法,其中装置包括:WAF集群,创建并运行在Kubernetes容器群集管理系统中,WAF集群包括若干个节点,每个节点上运行有反向代理程序和WAF;反向代理程序,用于将当前节点接收的web访问报文分发至web访问报文所要访问的web服务器所对应的WEB应用防火墙;WAF用于接收反向代理程序发送的web访问报文,并对接收的web访问报文进行安全检测,确认安全后将web访问报文发送至对应的web服务器。本发明的WEB应用防火墙群集创建并运行在Kubernetes容器群集管理系统中,利用了Kubernetes容器群集管理系统是以集群的方式运行、管理跨机器的容器,因此,本发明能够动态的创建节点,从而使得WEB应用防火墙能够实现弹性扩展和避免单点故障。
Description
技术领域
本发明涉及互联网领域、物联网领域、云计算和云服务安全领域,尤其涉及一种对web服务器的防护装置和方法。
背景技术
随着网络技术的不断发展,如电子商务、网上银行、电子政务的盛行,web服务器承载的业务价值越来越高,web服务器所面临的安全威胁也越来越大。因此,针对web服务器应用层的防御成为必然趋势。现有技术中,已经存在了专门针对web服务器应用层的攻击的防火墙:WEB应用防火墙。
在云计算、云存储等云服务领域中,通常在通用的操作系统(例如:CentOS、Redhat、Fedora、Ubuntu等)中安装WEB应用防火墙防止针对web服务器的攻击。
这种WEB应用防火墙安装模式,有以下缺点:
1、由于将WEB应用防火墙安装在通用的操作系统中,因此,WEB应用防火墙无法根据需要动态创建,导致WEB应用防火墙无法实现弹性扩展,当WEB应用防火墙需要防护的流量超出性能限制之后,WEB应用防火墙无法正常工作。
2、由于一个WEB应用防火墙负责守护一台Web服务器,且WEB应用防火墙无法动态创建,导致WEB应用防火墙无法避免单点故障,当WEB应用防火墙出现故障的时候,Web服务器无法正常访问。
发明内容
(一)发明目的
本发明的目的是提供一种对web服务器的防护装置和方法。
(二)技术方案
为解决上述问题,本发明的第一方面提供了一种对web服务器的防护装置,包括:WEB应用防火墙集群,创建并运行在Kubernetes容器群集管理系统中,所述WEB应用防火墙集群包括若干个节点,每个节点上运行有反向代理程序和WEB应用防火墙;所述反向代理程序,用于将当前节点接收的web访问报文分发至所述web访问报文所要访问的web服务器所对应的WEB应用防火墙;所述WEB应用防火墙,用于接收所述反向代理程序发送的web访问报文,并对接收的web访问报文进行安全检测,确认安全后将web访问报文发送至对应的web服务器。
进一步,所述的防护装置,其中,所述WEB应用防火墙集群还包括节点管理模块master;所述节点管理模块master,用于检测所述若干个节点的健康状况,并当检测到某个节点发生故障时,在其他节点上创建新的WEB应用防火墙,并将发生故障的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。
进一步,所述的防护装置,其中,所述节点管理模块master,还用于监测所述若干个节点的流量,并当监测到某个节点的流量超过预设阈值时,在其他节点上创建一个新的WEB应用防火墙,并将流量超过预设阈值的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。
进一步,所述的防护装置,还包括:负载均衡设备,所述负载均衡设备用于接收web端发送的web访问报文,并根据预设的负载均衡调度算法将接收的web访问报文分发至各个所述节点。
进一步,所述的防护装置,其中,所述反向代理程序,包括:域名获取模块,用于从所述web访问报文中提取要访问的web服务器的域名;匹配模块,用于在预设的web服务器域名与web应用防火墙域名对应表中找到与所述要访问的web服务器的域名所对应的web应用防火墙的域名;分发模块,根据找到的web应用防火墙的域名,将web访问请求分发至web应用防火墙。
本发明还提供了一种对web服务器的防护方法,应用于前述任一项所述的防护装置,所述防护方法包括:S1,反向代理程序接收web访问报文,并将所述web访问报文分发至所述web访问报文所要访问的web服务器所对应的WEB应用防火墙;S2,WEB应用防火墙接收web访问报文,并对web访问报文进行安全检测,确认安全后将web访问报文发送至对应的web服务器。
进一步,所述的防护方法,还包括:检测所述若干个节点的健康状况,并当检测到某个节点发生故障时,在其它节点创建一个新的Web应用防火墙,并将发生故障的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。
进一步,所述的防护方法,还包括:监测所述若干个节点的流量,并当监测到某个节点的流量超过预设阈值时,在其它节点创建一个新的Web应用防火墙,并将流量超过预设阈值的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。
进一步,所述的防护方法,其中,在所述反向代理程序接收web访问报文之前,还包括:负载均衡设备接收web端发送的web访问报文,并根据预设的负载均衡调度算法将所述web访问报文发送至各个节点。
进一步,所述的防护方法,其中,所述步骤S1包括:从所述web访问报文中提取要访问的web服务器的域名;在预设的web服务器域名与web应用防火墙域名对应表中找到与所述要访问的web服务器的域名所对应的web应用防火墙的域名;根据找到的web应用防火墙的域名,将web访问请求分发至web应用防火墙。
(三)有益效果
本发明的上述技术方案具有如下有益的技术效果:
本发明的WEB应用防火墙群集创建并运行在Kubernetes容器群集管理系统中,利用了Kubernetes容器群集管理系统是以集群的方式运行、管理跨机器的容器,因此,本发明能够动态的创建节点,当检测到某个节点发生故障时,在其它节点创建一个新的Web应用防火墙,并将发生故障的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。监测到某个节点的流量超过预设阈值时,在其它节点创建一个新的Web应用防火墙,并将流量超过预设阈值的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。从而使得WEB应用防火墙能够实现弹性扩展和避免单点故障。
附图说明
图1是本发明对web服务器的防护装置的拓扑结构图;
图2是本发明对web服务器的防护方法的步骤流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
术语解释:
Web应用防火墙,又名WAF,英文名称为Web Application Firewall,WAF用以解决诸如防火墙一类传统安全设备无法解决的Web应用安全问题。是一种专门针对Web服务器进行深度防护的设备,一般具有异常输入检查、输入验证、防篡改、自学习等功能。在实际应用中,为了节省资源和成本,可以在一个物理机上虚拟出若干个虚拟Web服务器,供不同客户使用。此外,为了保证虚拟Web服务器的安全,在同一个物理机中还可以虚拟出一个或者若干虚拟WAF,以便对数据请求进行过滤与清洗。
Kubernetes是Google开源的容器集群管理系统,其提供应用部署、维护、扩展机制等功能,利用Kubernetes能够方便地管理跨机器运行的容器化的应用,其主要功能包括如下几个方面:
(1)使用容器引擎Docker对应用程序进行包装、实例化、运行等操作。
(2)以集群的方式运行、管理跨机器的容器。
(3)解决Docker跨机器容器之间的通讯问题。
图1是本发明对web服务器的防护装置的拓扑结构图。
如图1所示,在本发明实施例中,对web服务器的防护装置包括:WEB应用防火墙集群。所述WEB应用防火墙集群创建并运行在Kubernetes容器群集管理系统中,所述WEB应用防火墙集群包括若干个节点,每个节点用于接收来自internet上的web访问报文。此处的节点可以是一个虚拟的服务器,也可以是一台物理服务器。
每个节点上运行有反向代理程序和WEB应用防火墙。
其中,反向代理程序用于将当前节点接收的web访问报文分发至所述web访问报文所要访问的web服务器所对应的WEB应用防火墙。
反向代理本身为现有技术,但为了使得公众更好的理解本发明,在此对本发明中所涉及的反向代理进行简要说明:反向代理(Reverse Proxy)是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。
节点上运行的WEB应用防火墙在建立时便被配置好其所要保护的Web服务器的域名。当反向代理程序接收到web访问报文时,判断该web访问报文是否存在当前节点中的WEB应用防火墙所保护的服务器的域名,如果存在,则将该web访问报文发送至对应的WEB应用防火墙。
所述WEB应用防火墙,用于接收所述反向代理程序发送的web访问报文,并对接收的web访问报文进行安全检测,确认安全后将web访问报文发送至对应的web服务器。具体的,WEB应用防火墙上运行着各种安全检测模块,这些安全检测模块用于对接收到的web访问报文进行检测,若检测到攻击,则将攻击阻断。
进一步的,每个节点上运行一个反向代理程序Nginx和至少一个WEB应用防火墙。Nginx是一个支持高并发量且性能优越的反向代理服务器,其高性能的表现被广泛应用于互联网服务器领域,尤其是linux系统环境下的大型服务器中。图1中所示的每个节点上运行有一个反向代理程序Nginx和两个WEB应用防火墙,其仅仅是用于做出示意性的说明,本发明的保护范围不限于此。
在本发明的另一个实施方式中,在前述的实施例基础上,所述反向代理程序包括:域名获取模块、匹配模块和分发模块。
其中,域名获取模块用于从所述web访问报文中提取要访问的web服务器的域名。例如,在HTTP协议中,域名获取模块从web访问报文提取HTTP Host字段(域名在此字段中)。匹配模块用于在预设的web服务器域名与web应用防火墙域名对应表中找到与所述要访问的web服务器的域名所对应的web应用防火墙的域名;分发模块根据找到的web应用防火墙的域名,将web访问请求分发至web应用防火墙。
在本发明的另一个实施方式中,在前述的实施例基础上,所述WEB应用防火墙集群还包括:未配置WAF处理模块,用于当所述匹配模块未在在预设的web服务器域名与web应用防火墙域名对应表中找到与所述要访问的web服务器的域名所对应的web应用防火墙的域名时,接收所述web访问报文。
在本发明的另一个实施方式中,所述WEB应用防火墙集群还包括节点管理模块master。所述节点管理模块master,用于检测所述若干个节点的健康状况,并当检测到某个节点发生故障时,在其他节点上创建新的WEB应用防火墙,并将发生故障的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。需要说明的是,从其他节点中选择一个以创建新的WEB应用防火墙时,基于每个节点的负载数据(CPU内存、使用率),从中选择负载较低的节点来创建新的Web应用防火墙。
在本发明的另一个实施方式中,所述节点管理模块master,还用于监测所述若干个节点的流量,并当监测到某个节点的流量超过预设阈值时,在其他节点上创建新的WEB应用防火墙,并将流量超过预设阈值的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。需要说明的是,从其他节点中选择一个以创建新的WEB应用防火墙时,基于每个节点的负载数据(CPU内存、使用率),从中选择负载较低的节点来创建新的Web应用防火墙。
在本发明的另一个实施方式中,在前述的实施例基础上,防护装置还包括:负载均衡设备。负载均衡设备用于接收web端发送的web访问报文,并根据预设的负载均衡调度算法将接收的web访问报文分发至各个所述节点。负载均衡调度算法可以采用轮询调度算法(Round-Robin)。
进一步,所述负载均衡设备上安装有节点健康检测模块,所述节点健康检测模块用于对所述节点进行检测,当检测到某个节点的HTTP端口无响应时,向负载均衡设备发生故障消息,所述负载均衡设备接收到故障消息之后停止向产生故障的节点分发web访问报文。
图2是本发明对web服务器的防护方法的步骤流程图。
如图2所示,本发明还提供了一种对web服务器的防护方法,该方法应用于前述任一项所述的防护装置,所述防护方法至少包括以下步骤S1-步骤S2:
S1,反向代理程序接收web访问报文,并将所述web访问报文分发至所述web访问报文所要访问的web服务器所对应的WEB应用防火墙。
反向代理本身为现有技术,但为了使得公众更好的理解本发明,在此对本发明中所涉及的反向代理进行简要说明:反向代理(Reverse Proxy)是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。
节点上运行的WEB应用防火墙在建立时便被配置好其所要保护的Web服务器的域名。当反向代理程序接收到web访问报文时,判断该web访问报文是否存在当前节点中的WEB应用防火墙所保护的服务器的域名,如果存在,则将该web访问报文发送至对应的WEB应用防火墙。
S2,WEB应用防火墙接收web访问报文,并对web访问报文进行安全检测,确认安全后将web访问报文发送至对应的web服务器。
具体的,WEB应用防火墙上运行着各种安全检测模块,这些安全检测模块用于对接收到的web访问报文进行检测,若检测到攻击,则将攻击阻断。进一步的,每个节点上运行一个反向代理程序Nginx和至少一个WEB应用防火墙。
进一步,所述步骤S1包括以下步骤:
步骤S11,从所述web访问报文中提取要访问的web服务器的域名。
步骤S12,在预设的web服务器域名与web应用防火墙域名对应表中找到与所述要访问的web服务器的域名所对应的web应用防火墙的域名。
步骤S13,根据找到的web应用防火墙的域名,将web访问请求分发至web应用防火墙。
在本发明的另一个实施方式中,在前述实施例的基础上,当所述反向代理程序未在在预设的web服务器域名与web应用防火墙域名对应表中找到与所述要访问的web服务器的域名所对应的web应用防火墙的域名时,将所述web访问报文发送至未配置WAF处理模块。
在本发明的另一个实施方式中,所述的防护方法,还包括:S3,检测所述若干个节点的健康状况,并当检测到某个节点发生故障时,在其他节点上创建新的WEB应用防火墙,并将发生故障的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。需要说明的是,从其他节点中选择一个以创建新的WEB应用防火墙时,基于每个节点的负载数据(CPU内存、使用率),从中选择负载较低的节点来创建新的Web应用防火墙。
在本发明的另一个实施方式中,所述的防护方法,还包括:监测所述若干个节点的流量,并当监测到某个节点的流量超过预设阈值时,在其他节点上创建新的WEB应用防火墙,并将流量超过预设阈值的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。需要说明的是,从其他节点中选择一个以创建新的WEB应用防火墙时,基于每个节点的负载数据(CPU内存、使用率),从中选择负载较低的节点来创建新的Web应用防火墙。
进一步,在所述反向代理程序接收web访问报文之前,还包括以下步骤:负载均衡设备接收web端发送的web访问报文,并根据预设的负载均衡调度算法将所述web访问报文发送至各个节点。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (10)
1.一种对web服务器的防护装置,其特征在于,包括:
WEB应用防火墙集群,创建并运行在Kubernetes容器群集管理系统中,所述WEB应用防火墙集群包括若干个节点,每个节点上运行有反向代理程序和WEB应用防火墙;
所述反向代理程序,用于将当前节点接收的web访问报文分发至所述web访问报文所要访问的web服务器所对应的WEB应用防火墙;
所述WEB应用防火墙,用于接收所述反向代理程序发送的web访问报文,并对接收的web访问报文进行安全检测,确认安全后将web访问报文发送至对应的web服务器。
2.根据权利要求1所述的防护装置,其中,
所述WEB应用防火墙集群还包括节点管理模块master;
所述节点管理模块master,用于检测所述若干个节点的健康状况,并当检测到某个节点发生故障时,在其他节点上创建新的WEB应用防火墙,并将发生故障的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。
3.根据权利要求2所述的防护装置,其中,
所述节点管理模块master,还用于监测所述若干个节点的流量,并当监测到某个节点的流量超过预设阈值时,在其他节点上创建新的WEB应用防火墙,并将流量超过预设阈值的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。
4.根据权利要求1所述的防护装置,还包括:负载均衡设备,所述负载均衡设备用于接收web端发送的web访问报文,并根据预设的负载均衡调度算法将接收的web访问报文分发至各个所述节点。
5.根据权利要求1-4任一项所述的防护装置,其中,所述反向代理程序,包括:
域名获取模块,用于从所述web访问报文中提取要访问的web服务器的域名;
匹配模块,用于在预设的web服务器域名与web应用防火墙域名对应表中找到与所述要访问的web服务器的域名所对应的web应用防火墙的域名;
分发模块,根据找到的web应用防火墙的域名,将web访问请求分发至web应用防火墙。
6.一种对web服务器的防护方法,其特征在于,应用于权利要求1-5任一项所述的防护装置,所述防护方法包括:
S1,反向代理程序接收web访问报文,并将所述web访问报文分发至所述web访问报文所要访问的web服务器所对应的WEB应用防火墙;
S2,WEB应用防火墙接收web访问报文,并对web访问报文进行安全检测,确认安全后将web访问报文发送至对应的web服务器。
7.根据权利要求6所述的防护方法,其中,还包括:
检测所述若干个节点的健康状况,并当检测到某个节点发生故障时,在其它节点创建一个新的Web应用防火墙,并将发生故障的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。
8.根据权利要求7所述的防护方法,其中,还包括:
监测所述若干个节点的流量,并当监测到某个节点的流量超过预设阈值时,在其它节点创建一个新的Web应用防火墙,并将流量超过预设阈值的节点的WEB应用防火墙的数据同步至所述新的WEB应用防火墙。
9.根据权利要求6所述的防护方法,其中,在所述反向代理程序接收web访问报文之前,还包括:
负载均衡设备接收web端发送的web访问报文,并根据预设的负载均衡调度算法将所述web访问报文发送至各个节点。
10.根据权利要求6-9任一项所述的防护方法,其中,所述步骤S1包括:
从所述web访问报文中提取要访问的web服务器的域名;
在预设的web服务器域名与web应用防火墙域名对应表中找到与所述要访问的web服务器的域名所对应的web应用防火墙的域名;
根据找到的web应用防火墙的域名,将web访问请求分发至web应用防火墙。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710581510.6A CN107426206A (zh) | 2017-07-17 | 2017-07-17 | 一种对web服务器的防护装置和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710581510.6A CN107426206A (zh) | 2017-07-17 | 2017-07-17 | 一种对web服务器的防护装置和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107426206A true CN107426206A (zh) | 2017-12-01 |
Family
ID=60429909
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710581510.6A Pending CN107426206A (zh) | 2017-07-17 | 2017-07-17 | 一种对web服务器的防护装置和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107426206A (zh) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108156079A (zh) * | 2017-12-29 | 2018-06-12 | 深信服网络科技(深圳)有限公司 | 一种基于云服务平台的数据包转发系统及方法 |
CN108304250A (zh) * | 2018-03-05 | 2018-07-20 | 北京百度网讯科技有限公司 | 用于确定运行机器学习任务的节点的方法和装置 |
CN108494835A (zh) * | 2018-03-08 | 2018-09-04 | 郑州云海信息技术有限公司 | 基于Raft算法的分布式动态路由的实现方法及系统 |
CN108965348A (zh) * | 2018-10-12 | 2018-12-07 | 深圳前海微众银行股份有限公司 | 网络安全防护方法、设备及计算机可读存储介质 |
CN109040128A (zh) * | 2018-09-18 | 2018-12-18 | 四川长虹电器股份有限公司 | 一种基于离线pcap流量包的WAF反向代理检测方法 |
CN109088764A (zh) * | 2018-08-15 | 2018-12-25 | 郑州悉知信息科技股份有限公司 | 访问请求处理方法及相关设备 |
CN109104467A (zh) * | 2018-07-25 | 2018-12-28 | 北京京东尚科信息技术有限公司 | 开发环境构建方法、装置以及平台系统和存储介质 |
CN109274669A (zh) * | 2018-09-18 | 2019-01-25 | 四川长虹电器股份有限公司 | 一种基于在线流量镜像旁路waf反向代理方法 |
CN110336687A (zh) * | 2019-05-09 | 2019-10-15 | 上海缤游网络科技有限公司 | 一种域名切换方法、装置及系统 |
CN112187735A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种PaaS容器云平台环境下的结合WAF的防护方法 |
CN112187737A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种PaaS容器云平台环境下的结合WAF的防护方法 |
CN112367290A (zh) * | 2020-09-11 | 2021-02-12 | 浙江大学 | 一种内生安全waf构造方法 |
CN112615813A (zh) * | 2020-11-23 | 2021-04-06 | 杭州朗澈科技有限公司 | kubernetes集群应用的防护方法和系统 |
CN112631601A (zh) * | 2020-12-24 | 2021-04-09 | 深信服科技股份有限公司 | 一种容器编排引擎的应用防火墙部署方法、装置及设备 |
CN112738217A (zh) * | 2020-12-28 | 2021-04-30 | 中国建设银行股份有限公司 | 安全交互系统及方法 |
CN112751900A (zh) * | 2019-10-31 | 2021-05-04 | 北京京东尚科信息技术有限公司 | 一种网络请求处理方法和装置 |
CN114726650A (zh) * | 2022-05-17 | 2022-07-08 | 北京航天驭星科技有限公司 | 任务请求处理方法、装置、电子设备及计算机可读介质 |
CN114884955A (zh) * | 2022-06-14 | 2022-08-09 | 平安科技(深圳)有限公司 | 透明代理部署系统和方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010026547A (ja) * | 2008-07-15 | 2010-02-04 | Fujitsu Ltd | ファイアウォール負荷分散方法及びファイアウォール負荷分散システム |
CN103095778A (zh) * | 2011-11-07 | 2013-05-08 | 北京知道创宇信息技术有限公司 | Web应用防火墙和web应用安全防护方法 |
WO2013094847A1 (ko) * | 2011-12-23 | 2013-06-27 | (주)케이티 | 클라우드 시스템에서의 웹 방화벽 서비스 장치 및 방법 |
-
2017
- 2017-07-17 CN CN201710581510.6A patent/CN107426206A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010026547A (ja) * | 2008-07-15 | 2010-02-04 | Fujitsu Ltd | ファイアウォール負荷分散方法及びファイアウォール負荷分散システム |
CN103095778A (zh) * | 2011-11-07 | 2013-05-08 | 北京知道创宇信息技术有限公司 | Web应用防火墙和web应用安全防护方法 |
WO2013094847A1 (ko) * | 2011-12-23 | 2013-06-27 | (주)케이티 | 클라우드 시스템에서의 웹 방화벽 서비스 장치 및 방법 |
Non-Patent Citations (1)
Title |
---|
六月的星期天: "基于Kubernetes的WAF集群介绍", 《HTTPS://WWW.CNBLOGS.COM/WANLXP/P/6861136.HTML》 * |
Cited By (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108156079B (zh) * | 2017-12-29 | 2021-08-13 | 深信服科技股份有限公司 | 一种基于云服务平台的数据包转发系统及方法 |
CN108156079A (zh) * | 2017-12-29 | 2018-06-12 | 深信服网络科技(深圳)有限公司 | 一种基于云服务平台的数据包转发系统及方法 |
CN108304250A (zh) * | 2018-03-05 | 2018-07-20 | 北京百度网讯科技有限公司 | 用于确定运行机器学习任务的节点的方法和装置 |
CN108494835B (zh) * | 2018-03-08 | 2020-11-03 | 浪潮云信息技术股份公司 | 基于Raft算法的分布式动态路由的实现方法及系统 |
CN108494835A (zh) * | 2018-03-08 | 2018-09-04 | 郑州云海信息技术有限公司 | 基于Raft算法的分布式动态路由的实现方法及系统 |
CN109104467A (zh) * | 2018-07-25 | 2018-12-28 | 北京京东尚科信息技术有限公司 | 开发环境构建方法、装置以及平台系统和存储介质 |
CN109104467B (zh) * | 2018-07-25 | 2021-07-30 | 北京京东尚科信息技术有限公司 | 开发环境构建方法、装置以及平台系统和存储介质 |
CN109088764B (zh) * | 2018-08-15 | 2022-04-22 | 郑州悉知信息科技股份有限公司 | 访问请求处理方法及相关设备 |
CN109088764A (zh) * | 2018-08-15 | 2018-12-25 | 郑州悉知信息科技股份有限公司 | 访问请求处理方法及相关设备 |
CN109274669A (zh) * | 2018-09-18 | 2019-01-25 | 四川长虹电器股份有限公司 | 一种基于在线流量镜像旁路waf反向代理方法 |
CN109040128A (zh) * | 2018-09-18 | 2018-12-18 | 四川长虹电器股份有限公司 | 一种基于离线pcap流量包的WAF反向代理检测方法 |
CN109040128B (zh) * | 2018-09-18 | 2020-09-22 | 四川长虹电器股份有限公司 | 一种基于离线pcap流量包的WAF反向代理检测方法 |
CN109274669B (zh) * | 2018-09-18 | 2021-04-27 | 四川长虹电器股份有限公司 | 一种基于在线流量镜像旁路waf反向代理方法 |
CN108965348B (zh) * | 2018-10-12 | 2021-02-19 | 深圳前海微众银行股份有限公司 | 网络安全防护方法、设备及计算机可读存储介质 |
CN108965348A (zh) * | 2018-10-12 | 2018-12-07 | 深圳前海微众银行股份有限公司 | 网络安全防护方法、设备及计算机可读存储介质 |
CN110336687A (zh) * | 2019-05-09 | 2019-10-15 | 上海缤游网络科技有限公司 | 一种域名切换方法、装置及系统 |
CN112751900B (zh) * | 2019-10-31 | 2024-04-09 | 北京京东尚科信息技术有限公司 | 一种网络请求处理方法和装置 |
CN112751900A (zh) * | 2019-10-31 | 2021-05-04 | 北京京东尚科信息技术有限公司 | 一种网络请求处理方法和装置 |
CN112187735A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种PaaS容器云平台环境下的结合WAF的防护方法 |
CN112187737A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种PaaS容器云平台环境下的结合WAF的防护方法 |
CN112367290A (zh) * | 2020-09-11 | 2021-02-12 | 浙江大学 | 一种内生安全waf构造方法 |
CN112615813A (zh) * | 2020-11-23 | 2021-04-06 | 杭州朗澈科技有限公司 | kubernetes集群应用的防护方法和系统 |
CN112631601A (zh) * | 2020-12-24 | 2021-04-09 | 深信服科技股份有限公司 | 一种容器编排引擎的应用防火墙部署方法、装置及设备 |
CN112631601B (zh) * | 2020-12-24 | 2024-04-12 | 深信服科技股份有限公司 | 一种容器编排引擎的应用防火墙部署方法、装置及设备 |
CN112738217A (zh) * | 2020-12-28 | 2021-04-30 | 中国建设银行股份有限公司 | 安全交互系统及方法 |
CN112738217B (zh) * | 2020-12-28 | 2022-05-27 | 中国建设银行股份有限公司 | 安全交互系统及方法 |
CN114726650A (zh) * | 2022-05-17 | 2022-07-08 | 北京航天驭星科技有限公司 | 任务请求处理方法、装置、电子设备及计算机可读介质 |
CN114726650B (zh) * | 2022-05-17 | 2022-08-23 | 北京航天驭星科技有限公司 | 任务请求处理方法、装置、电子设备及计算机可读介质 |
CN114884955A (zh) * | 2022-06-14 | 2022-08-09 | 平安科技(深圳)有限公司 | 透明代理部署系统和方法 |
CN114884955B (zh) * | 2022-06-14 | 2023-05-30 | 平安科技(深圳)有限公司 | 透明代理部署系统和方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107426206A (zh) | 一种对web服务器的防护装置和方法 | |
US10187423B2 (en) | Health monitor based distributed denial of service attack mitigation | |
CN105634998B (zh) | 针对多租户环境下物理机与虚拟机统一监控的方法及系统 | |
CN105049450A (zh) | 一种基于虚拟网络环境的云安全系统及其部署框架 | |
CN103731482A (zh) | 一种集群负载均衡系统及其实现方法 | |
CN109787827B (zh) | 一种cdn网络监控的方法及装置 | |
CN105100026A (zh) | 一种报文安全转发方法及装置 | |
CN105897827A (zh) | 服务器节点、局域网服务器集群及其实现方法 | |
CN103581276A (zh) | 集群管理装置、系统、业务客户端及相应方法 | |
CN108183950A (zh) | 一种网络设备建立连接的方法及装置 | |
KR20130083726A (ko) | 클라우드 시스템에서의 가상 머신 통합 모니터링 장치 및 방법 | |
CN108092940B (zh) | 一种dns的防护方法及相关设备 | |
CN111131505A (zh) | 基于p2p网络的数据传输方法、设备、系统、装置及介质 | |
CN105245549A (zh) | 一种抵抗DDoS攻击的主动防御方法 | |
CN111181850B (zh) | 数据包泛洪抑制方法、装置和设备及计算机存储介质 | |
CN108429656A (zh) | 一种监控物理机网卡连接状态的方法 | |
CN103258160A (zh) | 一种虚拟化环境下的云安全监测方法 | |
CN111405052A (zh) | 基于端口预测的p2p穿透方法、电子设备及介质 | |
Baarzi et al. | Microservices made attack-resilient using unsupervised service fissioning | |
EP3252648B1 (en) | Security measure invalidation prevention device, security measure invalidation prevention method, and security measure invalidation prevention program | |
CN110855784A (zh) | 代理服务器节点选择方法、电子设备、系统及介质 | |
CN112822146A (zh) | 网络连接的监控方法、装置、系统和计算机可读存储介质 | |
CN105245336B (zh) | 一种文档加密管理系统 | |
JP5549374B2 (ja) | 負荷分散装置及び負荷分散制御方法 | |
CN106878251B (zh) | 一种用于分布式的网站程序漏洞扫描系统、方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171201 |