CN108092941A - 一种网络安全防护方法、装置及系统 - Google Patents

一种网络安全防护方法、装置及系统 Download PDF

Info

Publication number
CN108092941A
CN108092941A CN201611043405.9A CN201611043405A CN108092941A CN 108092941 A CN108092941 A CN 108092941A CN 201611043405 A CN201611043405 A CN 201611043405A CN 108092941 A CN108092941 A CN 108092941A
Authority
CN
China
Prior art keywords
data
flows
attack
regular collection
waf
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611043405.9A
Other languages
English (en)
Inventor
程叶霞
杨凯
何申
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201611043405.9A priority Critical patent/CN108092941A/zh
Publication of CN108092941A publication Critical patent/CN108092941A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及互联网安全领域,尤其涉及一种网络安全防护方法、装置及系统,该方法为,通过设置一个前置WAF,先基于第一预设攻击规则集合对接收的所有流量数据集中进行预处理,然后通过负载均衡设备,将预处理后得到的流量数据进行分流,并分发给若干个后置WAF针对第二预设攻击规则进行过滤处理,这样,能够有效提高WAF的检测效率,进而提高了设备的资源利用率,由于第一预设攻击规则集合并不是包含了所有的攻击规则,而是根据网络安全的实时动态和实际需求进行调整的,因此,具备一定的灵活性和安全自适应性,能够将最新的网络安全态势应用到当前网络中,有效的提高了网络安全的防护效率。

Description

一种网络安全防护方法、装置及系统
技术领域
本发明涉及互联网安全领域,尤其涉及一种网络安全防护方法、装置及系统。
背景技术
互联网数据中心(Internet Data Center,IDC)为集中式收集、存储、处理和发送数据的设备提供运行维护的设施基地,IDC不仅是数据存储的中心,也是数据灾难备份和数据交换的中心,因此,与任何网站、互联网服务提供商(Internet Service Provider,ISP)、互联网内容服务提供商(Internet Content Provider,ICP)相比,IDC对网络安全的要求更高。
目前来说,通常利用网站应用级防火墙(Web Application Firewall,WAF)来保障IDC的网络安全。而在现有技术中,WAF通常是基于网络攻击规则对流量的流量数据进行检测,以过滤掉带有网络攻击的流量数据,但对于大流量数据来说,WAF直接在对其进行检测时,需要针对每一种网络攻击规则,重复迭代进行过滤,耗费的时间很长,而且,对于WAF本身来说,负载过大时,过滤的速度也会减慢,因此,相对来说,检测效率低下,从而导致WAF的防护效率过低,同时,由于需要由WAF对大流量数据全部完成检测后才能执行后续操作,导致其它进行后续操作的设备在WAF进行检测时长时间处于闲置状态,导致系统的资源利用率低。
因此,需要设计一种新的网络安全防护方法,以克服上述缺陷。
发明内容
本发明实施例提供一种网络安全防护方法、装置及系统,用以解决现有技术中存在的网络安全防护中检测效率、防护效率和系统资源利用率低下的问题。
本发明实施例提供的具体技术方案如下:
一种网络安全防护系统,至少包括前置网站应用级防火墙WAF、负载均衡设备和若干个后置WAF,其中,
前置WAF,用于接收第一流量数据,并基于第一预设攻击规则集合对所述第一流量数据进行预处理,将预处理后得到的第二流量数据发送至负载均衡设备;
负载均衡设备,用于对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF;
后置WAF,用于基于第二预设攻击规则集合,对接收的第三流量数据进行过滤处理。
可选的,基于第一预设攻击规则集合对所述第一流量数据进行预处理,将预处理后得到的第二流量数据发送至负载均衡设备时,所述前置WAF用于:
阻断所述第一流量数据中符合所述第一预设攻击规则集合中任意一项攻击规则的流量数据,并将所述第一流量数据中不符合所述第一预设攻击规则集合中所有攻击规则的流量数据作为所述第二流量数据,发送至负载均衡设备。
可选的,所述第一预设攻击规则集合至少包括预设时段内攻击危害强度最大的N个攻击规则和/或预设时段内最新的M个攻击规则。
可选的,对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF时,所述负载均衡设备用于:
基于各个后置WAF对应的流量数据处理能力和流量数据承载能力,将接收到的所述第二流量数据分流成若干第三流量数据,并基于每一个第三流量数据的大小,分别将每一个第三流量数据发往流量数据处理能力和流量数据承载能力相匹配的后置WAF。
可选的,基于第二预设攻击规则集合,对接收的第三流量数据进行过滤处理时,所述后置WAF用于:
阻断所述第三流量数据中符合所述第二预设攻击规则集合中任意一项攻击规则的流量数据,并将所述第三流量数据中不符合所述第二预设攻击规则集合中所有攻击规则的流量数据发送至相应的目标服务器。
可选的,所述第二预设攻击规则集合中不包含所述第一预设攻击规则集合中的任意一项攻击规则。
一种网络安全防护方法,包括:
接收第一流量数据,并基于第一预设攻击规则集合对所述第一流量数据进行预处理,得到第二流量数据;
将预处理后得到的第二流量数据进行分流,得到若干第三流量数据;
基于第二预设攻击规则集合,分别对每一个第三流量数据进行过滤处理。
可选的,基于第一预设攻击规则集合对所述第一流量数据进行预处理,得到第二流量数据,包括:
阻断所述第一流量数据中符合所述第一预设攻击规则集合中任意一项攻击规则的流量数据;
将所述第一流量数据中,不符合所述第一预设攻击规则集合中所有攻击规则的流量数据,作为第二流量数据。
可选的,所述第一预设攻击规则集合至少包括预设时段内攻击危害强度最大的N个攻击规则和/或预设时段内最新的M个攻击规则。
可选的,将预处理后得到的第二流量数据进行分流,得到若干第三流量数据,包括:
基于设定的流量数据处理能力和流量数据承载能力,将接收到的所述第二流量数据分流成若干第三流量数据。
可选的,基于第二预设攻击规则集合,对任意一个第三流量数据进行过滤处理,包括:
阻断所述任意一个第三流量数据中符合所述第二预设攻击规则集合中任意一项攻击规则的流量数据,并将所述任意一个第三流量数据中不符合所述第二预设攻击规则集合中所有攻击规则的流量数据发送至相应的目标服务器。
可选的,所述第二预设攻击规则集合中不包含所述第一预设攻击规则集合中的任意一项攻击规则。
一种网络安全防护装置,包括:
第一处理单元,用于接收第一流量数据,并基于第一预设攻击规则集合对所述第一流量数据进行预处理;
第二处理单元,用于将预处理后得到的第二流量数据发送至负载均衡设备,触发所述负载均衡设备执行以下操作:对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF,触发各个后置WAF基于第二预设攻击规则集合,对接收的第三流量数据进行过滤处理。
可选的,基于第一预设攻击规则集合对所述第一流量数据进行预处理时,所述第一处理单元用于:
阻断所述第一流量数据中符合所述第一预设攻击规则集合中任意一项攻击规则的流量数据。
可选的,将预处理后得到的第二流量数据发送至负载均衡设备时,所述第二处理单元用于:
将所述第一流量数据中不符合所述第一预设攻击规则集合中所有攻击规则的流量数据作为所述第二流量数据,发送至负载均衡设备。
可选的,所述第一预设攻击规则集合至少包括预设时段内攻击危害强度最大的N个攻击规则和/或预设时段内最新的M个攻击规则。
一种网络安全防护装置,包括:
接收单元,用于接收前置WAF发送的第二流量数据,其中,所述第二流量数据是所述前置WAF基于第一预设攻击规则集合对接收到的第一流量数据进行预处理后得到的;
处理单元,用于对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF,触发各个后置WAF执行以下操作:基于第二预设攻击规则集合,对接收的第三流量数据进行过滤处理。
可选的,对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF时,所述处理单元用于:
基于各个后置WAF对应的流量数据处理能力和流量数据承载能力,将接收到的所述第二流量数据分流成若干第三流量数据,并基于每一个第三流量数据的大小,分别将每一个第三流量数据发往流量数据处理能力和流量数据承载能力相匹配的后置WAF。
一种网络安全防护装置,包括:
接收单元,用于接收负载均衡设备发送的第三流量数据,其中,所述第三流量数据是所述负载均衡设备对接收到的第二流量数据进行分流后得到的,所述第二流量数据是前置WAF基于第一预设攻击规则集合对接收到的第一流量数据进行预处理后得到的;
处理单元,用于基于第二预设攻击规则集合,对接收的所述第三流量数据进行过滤处理。
可选的,基于第二预设攻击规则集合,对接收的所述第三流量数据进行过滤处理时,所述处理单元用于:
阻断所述第三流量数据中符合所述第二预设攻击规则集合中任意一项攻击规则的流量数据,并将所述第三流量数据中不符合所述第二预设攻击规则集合中所有攻击规则的流量数据发送至相应的目标服务器。
可选的,所述第二预设攻击规则集合中不包含所述第一预设攻击规则集合中的任意一项攻击规则。
本发明有益效果如下:
本发明实施例中,通过设置一个前置WAF,先基于第一预设攻击规则集合对接收的所有流量数据集中进行预处理,然后通过负载均衡设备,将预处理后得到的流量数据进行分流,并分发给若干个后置WAF针对第二预设攻击规则进行过滤处理,这样,由前置WAF先对所有流量数据集中进行检测,再将通过检测的流量数据分发给各个后置WAF进行过滤处理,能够有效提高WAF的检测效率,进而提高了设备的资源利用率,由于第一预设攻击规则集合并不是包含了所有的攻击规则,而是根据网络安全的实时动态和实际需求进行调整的,因此,具备一定的灵活性和安全自适应性,能够将最新的网络安全态势应用到当前网络中,有效的提高了网络安全的防护效率。
附图说明
图1为本发明实施例中网络安全防护系统功能结构示意图;
图2为本发明实施例中网络安全防护方法流程图;
图3为本发明实施例中前置WAF功能结构示意图;
图4为本发明实施例中负载均衡设备功能结构示意图;
图5为本发明实施例中后置WAF功能结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,并不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提高网络安全防护的检测效率、防护效率和系统资源利用率,本发明实施例中,设计了一种网络安全防护方法,该方法为,通过设置一个前置WAF,对接收的所有流量数据集中进行预处理,然后利用负载均衡,将预处理后得到的流量数据进行分流,分发给若干个后置WAF过滤处理。
下面结合附图对本发明优选的实施方式进行详细说明。
参阅图1所示,本发明实施例中,设计了一种网络安全防护的系统,至少包括前置WAF、负载均衡设备和若干个后置WAF,其中,
前置WAF,用于接收第一流量数据,并基于第一预设攻击规则集合对所述第一流量数据进行预处理,将预处理后得到的第二流量数据发送至负载均衡设备;
负载均衡设备,用于对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF;
后置WAF,用于基于第二预设攻击规则集合,对接收的第三流量数据进行过滤处理。
具体的,参阅图2所示,结合附图对本发明优选的实施方式进行详细的说明,本发明实施例中网络安全防护的具体流程如下:
步骤200:前置WAF接收第一流量数据,并基于第一预设攻击规则集合对上述第一流量数据进行预处理。
具体的,前置WAF接收第一流量数据,并基于第一预设攻击规则集合对上述第一流量数据进行预处理,本发明实施例中,是以IDC环境进行说明的,因此,以下所涉及的所有流量数据均以超文本传输协议(HyperText Transfer Protocol,HTTP)类流量数据进行说明。
进一步地,由于在针对流量数据的网络攻击中,攻击危害强度最大的和最新的攻击规则往往为网络攻击的主力,因此,本发明实施例中,针对HTTP类流量数据,将优选的第一预设攻击规则集合设定为针对HTTP类流量数据的所有攻击规则中攻击危害强度最大的N(不为0的整数)个攻击规则,和/或,设定为针对HTTP类流量数据的所有攻击规则中当前最新的M(不为0的整数)个攻击规则,而N和M的具体数值可以根据实际情况进行选值。
更进一步地,前置WAF在基于第一预设攻击规则集合对接收的第一流量数据进行预处理时,会阻断符合第一预设攻击规则集合中任意一项攻击规则的流量数据,并将不符合第一预设攻击规则集合中所有攻击规则的流量数据发送至后续设备进行进一步地检测。
例如,假设将近一个月内针对流量数据的攻击规则中攻击危害强度排名前10位的攻击规则,组成第一预设攻击规则集合,如,上述10个攻击规则分别为,跨站脚本攻击、跨站请求伪造攻击、散列攻击、本地终端数据(Cookie)攻击、缓冲区溢出攻击、目录遍历漏洞利用、结构化查询语言(Structured Query Language,SQL)注入、分布式拒绝服务攻击、上传文件攻击和重定向攻击,上述10个攻击规则组合成第一预设攻击规则集合,假设,当前前置WAF接收到100G的HTTP类流量数据后,会基于上述第一预设攻击规则集合中的10个攻击规则对上述100G的HTTP类流量数据进行迭代过滤,将携带符合上述10个攻击规则中的任意一个攻击规则的网络攻击的HTTP类流量数据进行阻断。
步骤210:前置WAF将预处理得到的第二流量数据发送至负载均衡设备。
具体的,前置WAF将预处理得到的第二流量数据发送至负载均衡设备。
例如,继续以步骤200中的示例进行说明,假设当前符合上述10个攻击规则中任意一个攻击规则的HTTP类流量数据有60G,那么,前置WAF会将不符合上述10个攻击规则中所有攻击规则的40G的HTTP类流量数据发送至负载均衡设备。
步骤220:负载均衡设备对接收的第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF。
具体的,负载均衡设备会基于接收的第二流量数据的大小、各个后置WAF的流量数据处理能力和流量数据承载能力,对接收的第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF,其中,若干个后置WAF可以组成一个后置WAF集群。
进一步地,若各个后置WAF的流量数据处理能力和流量数据承载能力均为一样,那么,负载均衡设备会将接收到的第二流量数据均匀的分给各个后置WAF,若各个后置WAF的流量数据处理能力和流量数据承载能力各不相同,那么,负载均衡设备会根据各个后置WAF的流量数据处理能力和流量数据承载能力的高低,将接收到的第二流量数据进行分流。
例如,仍以步骤210中的示例进行说明,假设存在4个后置WAF,且这4个后置WAF的流量数据处理能力均一样,那么,负载均衡设备会将接收到的40G的HTTP类流量数据均匀的分成4份,分别发往上述4个后置WAF,若存在的4个后置WAF的流量数据处理能力和流量数据承载能力各不一样,且假设后置WAF1和后置WAF2的流量数据的处理量均为30G,而后置WAF3和后置WAF4的流量数据的处理量为20G,那么,负载均衡设备可以将接收到的40G的HTTP类流量数据分为4份,为后置WAF1和后置WAF2各分发15G的HTTP类流量数据,为后置WAF3和后置WAF4各分发5G的HTTP类流量数据。
当然,负载均衡设备对接收到的第二流量数据进行分流的分流方式远不止此,上述分流方式仅为理想情况下的举例,实际运用时,各个后置WAF即使是具备相同的各项配置,但实际承载能力还是各不相同,因此,负载均衡设备需要根据各个后置WAF的流量数据处理能力和流量数据承载能力均衡后再进行分流,使得各个后置WAF能够最大程度的发挥作用。
步骤230:后置WAF基于第二预设攻击规则集合,对接收的第三流量数据进行过滤处理。
具体的,后置WAF接收负载均衡设备分发的第三流量数据,并基于第二预设攻击规则集合,对接收的第三流量数据进行过滤处理,其中,上述第二预设攻击规则集合不包含上述第一预设攻击规则集合中的任意一项攻击规则,即,上述第二预设攻击规则集合由,除第一预设攻击规则集合中的任意一项攻击规则以外的其他所有攻击规则组成。
进一步地,后置WAF对接收到的第三流量数据进行过滤处理,将上述第三流量数据中符合第二预设攻击规则集合中任意一项攻击规则的流量数据进行阻断,将不符合第二预设攻击规则集合中所有攻击规则的流量数据发送至各自对应的目标位置。
例如,仍以步骤200中的示例继续进行说明,在步骤200的示例中,假设第一预设攻击规则集合为近一个月内针对流量数据的攻击规则中攻击危害强度排名前10位的攻击规则组成,且上述10个攻击规则分别为跨站脚本攻击、跨站请求伪造攻击、散列攻击、Cookie攻击、缓冲区溢出攻击、目录遍历漏洞利用、SQL注入、分布式拒绝服务攻击、上传文件攻击和重定向攻击,那么,第二预设攻击规则集合则是由除上述10个攻击规则以外的其他攻击规则组成,假设,其他攻击规则还存在20个,且假设以步骤220中示例1的后置WAF1为例继续进行说明,若后置WAF1接收到的10G的HTTP类流量数据,会基于第二预设攻击规则中的20个攻击规则对接收到的10G的HTTP类流量数据进行迭代过滤,过滤掉符合上述20个攻击规则中任意一个攻击规则的HTTP类流量数据,将不符合上述20个攻击规则中所有攻击规则的HTTP类流量数据给予通过,并发送至各自对应的目标服务器。
至此,本发明实施例是用来针对IDC环境的网络安全防护,但在实际应用时,也可用于其他网络环境中,如,云计算环境,软件定义网络(Software Defined Network,SDN)环境等等,在此不做限定。
参阅图3所示,本发明实施例中,网络安全防护装置(如,前置WAF)至少包括第一处理单元31,第二处理单元32,其中,
第一处理单元31,用于接收第一流量数据,并基于第一预设攻击规则集合对所述第一流量数据进行预处理;
第二处理单元32,用于将预处理后得到的第二流量数据发送至负载均衡设备,触发所述负载均衡设备执行以下操作:对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF,触发各个后置WAF基于第二预设攻击规则集合,对接收的第三流量数据进行过滤处理。
可选的,基于第一预设攻击规则集合对所述第一流量数据进行预处理时,所述第一处理单元31用于:
阻断所述第一流量数据中符合所述第一预设攻击规则集合中任意一项攻击规则的流量数据。
可选的,将预处理后得到的第二流量数据发送至负载均衡设备时,所述第二处理单元32用于:
将所述第一流量数据中不符合所述第一预设攻击规则集合中所有攻击规则的流量数据作为所述第二流量数据,发送至负载均衡设备。
可选的,所述第一预设攻击规则集合至少包括预设时段内攻击危害强度最大的N个攻击规则和/或预设时段内最新的M个攻击规则。
参阅图4所示,本发明实施例中,网络安全防护装置(如,负载均衡设备)至少包括接收单元41,处理单元42,其中,
接收单元41,用于接收前置WAF发送的第二流量数据,其中,所述第二流量数据是所述前置WAF基于第一预设攻击规则集合对接收到的第一流量数据进行预处理后得到的;
处理单元42,用于对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF,触发各个后置WAF执行以下操作:基于第二预设攻击规则集合,对接收的第三流量数据进行过滤处理。
可选的,对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF时,所述处理单元42用于:
基于各个后置WAF对应的流量数据处理能力和流量数据承载能力,将接收到的所述第二流量数据分流成若干第三流量数据,并基于每一个第三流量数据的大小,分别将每一个第三流量数据发往流量数据处理能力和流量数据承载能力相匹配的后置WAF。
参阅图5所示,本发明实施例中,网络安全防护装置(如,后置WAF)至少包括接收单元51,处理单元52,其中,
接收单元51,用于接收负载均衡设备发送的第三流量数据,其中,所述第三流量数据是所述负载均衡设备对接收到的第二流量数据进行分流后得到的,所述第二流量数据是前置WAF基于第一预设攻击规则集合对接收到的第一流量数据进行预处理后得到的;
处理单元52,用于基于第二预设攻击规则集合,对接收的所述第三流量数据进行过滤处理。
可选的,基于第二预设攻击规则集合,对接收的所述第三流量数据进行过滤处理时,所述处理单元52用于:
阻断所述第三流量数据中符合所述第二预设攻击规则集合中任意一项攻击规则的流量数据,并将所述第三流量数据中不符合所述第二预设攻击规则集合中所有攻击规则的流量数据发送至相应的目标服务器。
可选的,所述第二预设攻击规则集合中不包含所述第一预设攻击规则集合中的任意一项攻击规则。
本发明实施例中,通过设置一个前置WAF,先基于第一预设攻击规则集合对接收的所有流量数据集中进行预处理,然后通过负载均衡设备,将预处理后得到的流量数据进行分流,并分发给若干个后置WAF针对第二预设攻击规则进行过滤处理,这样,由前置WAF先对所有流量数据集中进行检测,再将通过检测的流量数据分发给各个后置WAF进行过滤处理,能够有效提高WAF的检测效率,进而提高了设备的资源利用率,由于第一预设攻击规则集合并不是包含了所有的攻击规则,而是根据网络安全的实时动态和实际需求进行调整的,因此,具备一定的灵活性和安全自适应性,能够将最新的网络安全态势应用到当前网络中,有效的提高了网络安全的防护效率。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (21)

1.一种网络安全防护系统,至少包括前置网站应用级防火墙WAF、负载均衡设备和若干个后置WAF,其特征在于,
前置WAF,用于接收第一流量数据,并基于第一预设攻击规则集合对所述第一流量数据进行预处理,将预处理后得到的第二流量数据发送至负载均衡设备;
负载均衡设备,用于对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF;
后置WAF,用于基于第二预设攻击规则集合,对接收的第三流量数据进行过滤处理。
2.如权利要求1所述的系统,其特征在于,基于第一预设攻击规则集合对所述第一流量数据进行预处理,将预处理后得到的第二流量数据发送至负载均衡设备时,所述前置WAF用于:
阻断所述第一流量数据中符合所述第一预设攻击规则集合中任意一项攻击规则的流量数据,并将所述第一流量数据中不符合所述第一预设攻击规则集合中所有攻击规则的流量数据作为所述第二流量数据,发送至负载均衡设备。
3.如权利要求1或2所述的系统,其特征在于,所述第一预设攻击规则集合至少包括预设时段内攻击危害强度最大的N个攻击规则和/或预设时段内最新的M个攻击规则。
4.如权利要求1或2所述的系统,其特征在于,对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF时,所述负载均衡设备用于:
基于各个后置WAF对应的流量数据处理能力和流量数据承载能力,将接收到的所述第二流量数据分流成若干第三流量数据,并基于每一个第三流量数据的大小,分别将每一个第三流量数据发往流量数据处理能力和流量数据承载能力相匹配的后置WAF。
5.如权利要求1或2所述的系统,其特征在于,基于第二预设攻击规则集合,对接收的第三流量数据进行过滤处理时,所述后置WAF用于:
阻断所述第三流量数据中符合所述第二预设攻击规则集合中任意一项攻击规则的流量数据,并将所述第三流量数据中不符合所述第二预设攻击规则集合中所有攻击规则的流量数据发送至相应的目标服务器。
6.如权利要求5所述的系统,其特征在于,所述第二预设攻击规则集合中不包含所述第一预设攻击规则集合中的任意一项攻击规则。
7.一种网络安全防护方法,其特征在于,包括:
接收第一流量数据,并基于第一预设攻击规则集合对所述第一流量数据进行预处理,得到第二流量数据;
将预处理后得到的第二流量数据进行分流,得到若干第三流量数据;
基于第二预设攻击规则集合,分别对每一个第三流量数据进行过滤处理。
8.如权利要求7所述的方法,其特征在于,基于第一预设攻击规则集合对所述第一流量数据进行预处理,得到第二流量数据,包括:
阻断所述第一流量数据中符合所述第一预设攻击规则集合中任意一项攻击规则的流量数据;
将所述第一流量数据中,不符合所述第一预设攻击规则集合中所有攻击规则的流量数据,作为第二流量数据。
9.如权利要求7或8所述的方法,其特征在于,所述第一预设攻击规则集合至少包括预设时段内攻击危害强度最大的N个攻击规则和/或预设时段内最新的M个攻击规则。
10.如权利要求7所述的方法,其特征在于,将预处理后得到的第二流量数据进行分流,得到若干第三流量数据,包括:
基于设定的流量数据处理能力和流量数据承载能力,将接收到的所述第二流量数据分流成若干第三流量数据。
11.如权利要求7所述的方法,其特征在于,基于第二预设攻击规则集合,对任意一个第三流量数据进行过滤处理,包括:
阻断所述任意一个第三流量数据中符合所述第二预设攻击规则集合中任意一项攻击规则的流量数据,并将所述任意一个第三流量数据中不符合所述第二预设攻击规则集合中所有攻击规则的流量数据发送至相应的目标服务器。
12.如权利要求11所述的方法,其特征在于,所述第二预设攻击规则集合中不包含所述第一预设攻击规则集合中的任意一项攻击规则。
13.一种网络安全防护装置,其特征在于,包括:
第一处理单元,用于接收第一流量数据,并基于第一预设攻击规则集合对所述第一流量数据进行预处理;
第二处理单元,用于将预处理后得到的第二流量数据发送至负载均衡设备,触发所述负载均衡设备执行以下操作:对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF,触发各个后置WAF基于第二预设攻击规则集合,对接收的第三流量数据进行过滤处理。
14.如权利要求13所述的装置,其特征在于,基于第一预设攻击规则集合对所述第一流量数据进行预处理时,所述第一处理单元用于:
阻断所述第一流量数据中符合所述第一预设攻击规则集合中任意一项攻击规则的流量数据。
15.如权利要求14所述的装置,其特征在于,将预处理后得到的第二流量数据发送至负载均衡设备时,所述第二处理单元用于:
将所述第一流量数据中不符合所述第一预设攻击规则集合中所有攻击规则的流量数据作为所述第二流量数据,发送至负载均衡设备。
16.如权利要求13、14或15所述的装置,其特征在于,所述第一预设攻击规则集合至少包括预设时段内攻击危害强度最大的N个攻击规则和/或预设时段内最新的M个攻击规则。
17.一种网络安全防护装置,其特征在于,包括:
接收单元,用于接收前置WAF发送的第二流量数据,其中,所述第二流量数据是所述前置WAF基于第一预设攻击规则集合对接收到的第一流量数据进行预处理后得到的;
处理单元,用于对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF,触发各个后置WAF执行以下操作:基于第二预设攻击规则集合,对接收的第三流量数据进行过滤处理。
18.如权利要求17所述的装置,其特征在于,对接收的所述第二流量数据进行分流,并将分流后得到的若干第三流量数据分发给对应的后置WAF时,所述处理单元用于:
基于各个后置WAF对应的流量数据处理能力和流量数据承载能力,将接收到的所述第二流量数据分流成若干第三流量数据,并基于每一个第三流量数据的大小,分别将每一个第三流量数据发往流量数据处理能力和流量数据承载能力相匹配的后置WAF。
19.一种网络安全防护装置,其特征在于,包括:
接收单元,用于接收负载均衡设备发送的第三流量数据,其中,所述第三流量数据是所述负载均衡设备对接收到的第二流量数据进行分流后得到的,所述第二流量数据是前置WAF基于第一预设攻击规则集合对接收到的第一流量数据进行预处理后得到的;
处理单元,用于基于第二预设攻击规则集合,对接收的所述第三流量数据进行过滤处理。
20.如权利要求19所述的装置,其特征在于,基于第二预设攻击规则集合,对接收的所述第三流量数据进行过滤处理时,所述处理单元用于:
阻断所述第三流量数据中符合所述第二预设攻击规则集合中任意一项攻击规则的流量数据,并将所述第三流量数据中不符合所述第二预设攻击规则集合中所有攻击规则的流量数据发送至相应的目标服务器。
21.如权利要求20所述的装置,其特征在于,所述第二预设攻击规则集合中不包含所述第一预设攻击规则集合中的任意一项攻击规则。
CN201611043405.9A 2016-11-23 2016-11-23 一种网络安全防护方法、装置及系统 Pending CN108092941A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611043405.9A CN108092941A (zh) 2016-11-23 2016-11-23 一种网络安全防护方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611043405.9A CN108092941A (zh) 2016-11-23 2016-11-23 一种网络安全防护方法、装置及系统

Publications (1)

Publication Number Publication Date
CN108092941A true CN108092941A (zh) 2018-05-29

Family

ID=62171087

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611043405.9A Pending CN108092941A (zh) 2016-11-23 2016-11-23 一种网络安全防护方法、装置及系统

Country Status (1)

Country Link
CN (1) CN108092941A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413108A (zh) * 2018-12-18 2019-03-01 杭州安恒信息技术股份有限公司 一种基于安全的waf检测方法和系统
CN111343135A (zh) * 2018-12-19 2020-06-26 中国移动通信集团湖南有限公司 一种网络安全态势检测方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060195896A1 (en) * 2004-12-22 2006-08-31 Wake Forest University Method, systems, and computer program products for implementing function-parallel network firewall
CN102271078A (zh) * 2010-06-07 2011-12-07 龚华清 面向服务质量保障的负载均衡方法
CN102438026A (zh) * 2012-01-12 2012-05-02 冶金自动化研究设计院 工业控制网络安全防护方法及系统
WO2012103846A3 (zh) * 2012-04-05 2013-03-07 华为技术有限公司 网络安全处理方法、系统和网卡
CN104714938A (zh) * 2013-12-12 2015-06-17 联想(北京)有限公司 一种信息处理的方法及电子设备
CN105530259A (zh) * 2015-12-22 2016-04-27 华为技术有限公司 报文过滤方法及设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060195896A1 (en) * 2004-12-22 2006-08-31 Wake Forest University Method, systems, and computer program products for implementing function-parallel network firewall
CN102271078A (zh) * 2010-06-07 2011-12-07 龚华清 面向服务质量保障的负载均衡方法
CN102438026A (zh) * 2012-01-12 2012-05-02 冶金自动化研究设计院 工业控制网络安全防护方法及系统
WO2012103846A3 (zh) * 2012-04-05 2013-03-07 华为技术有限公司 网络安全处理方法、系统和网卡
CN102986194A (zh) * 2012-04-05 2013-03-20 华为技术有限公司 网络安全处理方法、系统和网卡
CN104714938A (zh) * 2013-12-12 2015-06-17 联想(北京)有限公司 一种信息处理的方法及电子设备
CN105530259A (zh) * 2015-12-22 2016-04-27 华为技术有限公司 报文过滤方法及设备

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413108A (zh) * 2018-12-18 2019-03-01 杭州安恒信息技术股份有限公司 一种基于安全的waf检测方法和系统
CN109413108B (zh) * 2018-12-18 2021-07-02 杭州安恒信息技术股份有限公司 一种基于安全的waf检测方法和系统
CN111343135A (zh) * 2018-12-19 2020-06-26 中国移动通信集团湖南有限公司 一种网络安全态势检测方法

Similar Documents

Publication Publication Date Title
CN107454109B (zh) 一种基于http流量分析的网络窃密行为检测方法
CN105100109B (zh) 一种部署安全访问控制策略的方法及装置
CN104219316B (zh) 一种分布式系统中的调用请求处理方法及装置
CN103384255B (zh) 虚拟机集群的负载均衡方法、服务器及系统
CN104954384B (zh) 一种保护Web应用安全的url拟态方法
CN104900102A (zh) 基于虚拟环境的攻防演练系统
CN106357685A (zh) 一种防御分布式拒绝服务攻击的方法及装置
CN106131078A (zh) 一种处理业务请求的方法及装置
CN108965210A (zh) 基于场景式攻防模拟的安全试验平台
CN108092941A (zh) 一种网络安全防护方法、装置及系统
CN103067218A (zh) 一种高速网络数据包内容分析装置
CN109450766A (zh) 一种工作区级vpn的访问处理方法及装置
CN106789981A (zh) 基于waf的流量控制方法、装置及系统
CN105847377A (zh) 集群网络的请求拥塞过载处理方法及系统
CN106790041B (zh) 一种网际协议ip信誉库生成方法及装置
CN107800723A (zh) Cc攻击防护方法及设备
CN108737255B (zh) 负载均衡方法、负载均衡装置及服务器
CN104394163A (zh) 一种基于Web应用的安全检测方法
CN104363234B (zh) 基于公网ip地址拨号上网的防护方法及装置及系统
Jakaria et al. Dynamic ddos defense resource allocation using network function virtualization
CN106713220A (zh) 基于ddos攻击防范方法和装置
CN106991332A (zh) 一种海量数据安全存储的方法及装置
CN105306385A (zh) 下行网络带宽的控制方法及装置
CN111262815A (zh) 一种虚拟主机管理系统
CN106506553B (zh) 一种网际协议ip过滤方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20180529

RJ01 Rejection of invention patent application after publication