CN108965348A - 网络安全防护方法、设备及计算机可读存储介质 - Google Patents
网络安全防护方法、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN108965348A CN108965348A CN201811194179.3A CN201811194179A CN108965348A CN 108965348 A CN108965348 A CN 108965348A CN 201811194179 A CN201811194179 A CN 201811194179A CN 108965348 A CN108965348 A CN 108965348A
- Authority
- CN
- China
- Prior art keywords
- waf
- network
- request packet
- server
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全防护方法,该方法包括:当nginx服务器接收到客户端发送的网络请求包时,从预先保存的WAF服务配置信息中获取一个可用的WAF服务地址;将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器,以使所述WAF服务器根据预置的WAF策略判断所述网络请求包是否为恶意的网络请求包;当接收到所述WAF服务器返回的所述网络请求包为恶意的网络请求包的判断结果时,拦截所述网络请求包。本发明还公开了一种网络安全防护设备和一种计算机可读存储介质。本发明能够提高基于nginx服务器的Web应用防护性能。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及网络安全防护方法、设备及计算机可读存储介质。
背景技术
nginx(engine x)是一个高性能的HTTP和反向代理服务,用于实现客户端和业务后台之间的网络代理。当WEB(World Wide Web,万维网)应用越来越为丰富的同时,WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标,在此情况下,为防止业务后台受到来自于客户端请求的攻击,nginx服务器通常会提供Web应用防护功能。
现有技术中,在nginx服务器上实现Web应用防护功能主要包括两种方式:
1)将WAF(Web Application Firewall,Web应用防护系统)策略通过预编译的方式嵌入到nginx插件中。这种方式无法实现热更新,配置策略不够灵活,且迭代成本较高。
2)将WAF策略存储于nginx服务器的共享内存中令nginx插件读取,然后nginx插件根据策略来决定是否拦截客户端请求。由于一台nginx服务器上可能运行多个nginx服务,而不同的nginx服务往往采用不同的WAF策略,因此这种读取共享内存的方式会导致单机上的多个nginx服务之间发生冲突,且策略的执行依赖于单机性能,无法横向扩展。
基于上述问题,目前nginx服务器的Web应用防护性能还有待提高。
发明内容
本发明的主要目的在于提出一种网络安全防护方法、设备及计算机可读存储介质,旨在提高基于nginx服务器的Web应用防护性能。
为实现上述目的,本发明提供一种网络安全防护方法,所述网络安全防护方法包括如下步骤:
当nginx服务器接收到客户端发送的网络请求包时,从预先保存的WAF服务配置信息中获取一个可用的WAF服务地址;
将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器,以使所述WAF服务器根据预置的WAF策略判断所述网络请求包是否为恶意的网络请求包;
当接收到所述WAF服务器返回的所述网络请求包为恶意的网络请求包的判断结果时,拦截所述网络请求包。
优选地,所述将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤包括:
调用预设的网络接口,所述网络接口包括采用用户数据报协议UDP的UDP接口和采用传输控制协议TCP的TCP接口中的任意一种;
通过所述网络接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器。
优选地,所述通过所述网络接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤包括:
判断所述网络请求包的大小是否超过预设大小;
若是,则为未超出部分的包体分配预设的固定内存,为超出部分的包体分配动态内存,并将超出部分的包体通过调用异步发送TCP接口的方式发送给所述WAF服务地址对应的WAF服务器。
优选地,所述通过所述网络接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤包括:
当调用所述UDP接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器时,通过一个网络上下文对象记录所述网络请求包的请求状态;
基于预置的多个内存池为所述网络上下文对象分配内存,其中每个内存池的容量大于或等于所述nginx服务器每秒能够处理的消息数TPS与所述WAF服务器的响应耗时之积。
优选地,所述将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤包括:
在调用所述WAF服务地址对应的WAF服务器的过程中,检测是否存在调用所述WAF服务器连续失败的次数达到预设次数;
若是,则从所述WAF服务配置信息中删除所述WAF服务器对应的WAF服务地址,并将所述网络请求包发送给新的WAF服务地址对应的WAF服务器。
优选地,所述当接收到所述WAF服务器返回的所述网络请求包为恶意的网络请求包的判断结果时,拦截所述网络请求包的步骤之后,还包括:
定期从所述WAF服务器获取WAF服务的配置更新信息;
根据获取到的所述配置更新信息对预先保存的WAF服务配置信息进行更新。
优选地,所述当nginx服务器接收到客户端发送的网络请求包时,从预先保存的WAF服务配置信息中获取一个可用的WAF服务地址的步骤之后,还包括:
当未获取到任何可用的WAF服务地址时,将所述网络请求包转发至对应的业务后台。
优选地,所述网络安全防护方法还包括:
记录从接收所述网络请求包到将所述网络请求包发送给所述WAF服务器过程中的异常信息,将记录的所述异常信息定期发送给所述WAF服务器。
此外,为实现上述目的,本发明还提供一种网络安全防护设备,所述网络安全防护设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络安全防护程序,所述网络安全防护程序被所述处理器执行时实现如上所述的网络安全防护方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络安全防护程序,所述网络安全防护程序被处理器执行时实现如上所述的网络安全防护方法的步骤。
本发明当nginx服务器接收到客户端发送的网络请求包时,从预先保存的WAF服务配置信息中获取一个可用的WAF服务地址;将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器,以使所述WAF服务器根据预置的WAF策略判断所述网络请求包是否为恶意的网络请求包;当接收到所述WAF服务器返回的所述网络请求包为恶意的网络请求包的判断结果时,拦截所述网络请求包。这种方式通过将WAF策略从nginx服务器中分离出来作为单独的服务,使得在进行Web应用防护时不侵入nginx服务器,避免了对nginx服务器的影响,且可以灵活地变更WAF服务配置信息和WAF策略,从而提高了基于nginx服务器的Web应用防护性能。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图;
图2为本发明网络安全防护方法第一实施例的流程示意图;
图3为本发明实施例中网络安全防护的交互示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:当nginx服务器接收到客户端发送的网络请求包时,从预先保存的WAF服务配置信息中获取一个可用的WAF服务地址;将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器,以使所述WAF服务器根据预置的WAF策略判断所述网络请求包是否为恶意的网络请求包;当接收到所述WAF服务器返回的所述网络请求包为恶意的网络请求包的判断结果时,拦截所述网络请求包。
现有技术中,在nginx服务器上实现Web应用防护功能主要包括两种方式:1)将WAF(Web Application Firewall,Web应用防护系统)策略通过预编译的方式嵌入到nginx插件中。这种方式无法实现热更新,配置策略不够灵活,且迭代成本较高。2)将WAF策略存储于nginx服务器的共享内存中令nginx插件读取,然后nginx插件根据策略来决定是否拦截客户端请求。这种方式会导致单机上的多个nginx服务之间发生冲突,且策略的执行依赖于单机性能,无法横向扩展。基于上述问题,目前nginx服务器的Web应用防护性能还有待提高。
本发明通过将WAF策略从nginx服务器中分离出来作为单独的服务,使得在进行Web应用防护时不侵入nginx服务器,避免了对nginx服务器的影响,且可以灵活地变更WAF服务配置信息和WAF策略,从而提高了基于nginx服务器的Web应用防护性能。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图。
本发明实施例网络安全防护设备为nginx服务器。
如图1所示,该设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的设备结构并不构成对设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络安全防护程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的网络安全防护程序,并执行下述网络安全防护方法实施例中的操作。
基于上述硬件结构,提出本发明网络安全防护方法实施例。
参照图2,图2为本发明网络安全防护方法第一实施例的流程示意图,所述方法包括:
步骤S10,当nginx服务器接收到客户端发送的网络请求包时,从预先保存的WAF服务配置信息中获取一个可用的WAF服务地址;
参照图3,图3为本发明实施例中网络安全防护的交互示意图。本实施例网络安全防护方法应用于nginx服务器,具体可由运行在nginx服务器上的nginx插件实现,nginx(engine x)是一个高性能的HTTP和反向代理服务,用于实现客户端和业务后台之间的网络代理,本实施例将WAF策略从nginx服务器中独立出来,由WAF服务器运行相应的WAF策略,且WAF服务器可以横向扩展。
为保证本发明正常实施,需预先在nginx服务器中保存WAF服务配置信息,该WAF服务配置信息中包括一个或多个WAF服务地址,不同的WAF服务地址对应不同的WAF服务器。当nginx服务器接收到客户端发送的网络请求包时,从预先保存的WAF服务配置信息中获取一个可用的WAF服务地址,该获取WAF服务地址的方式可以是随机选取,也可以是指定选取,本实施例对此不作限定。
上述步骤S10之后还可以进一步包括:当未获取到任何可用的WAF服务地址时,将所述网络请求包转发至对应的业务后台。
一种极端情况,当未获取到任何可用的WAF服务地址时,说明当前不存在任何可用的WAF服务器,此时nginx服务器直接放过客户端的网络请求包,即,将网络请求包转发至对应的业务后台,由此能够保证客户端的网络访问正常进行。
步骤S20,将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器,以使所述WAF服务器根据预置的WAF策略判断所述网络请求包是否为恶意的网络请求包;
该步骤中,在获取到一个可用的WAF服务地址后,nginx服务器将网络请求包发送给该WAF服务地址对应的WAF服务器,WAF服务器中预置有WAF策略,即Web应用防护策略,当WAF服务器接收到网络请求包后,即根据预置的WAF策略判断该网络请求包是否为恶意的网络请求包,具体的判断方式可以参照在Web应用防护中判断网络请求包是否恶意的相关现有技术,此处不作赘述。
进一步地,所述将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤可以包括:在调用所述WAF服务地址对应的WAF服务器的过程中,检测是否存在调用所述WAF服务器连续失败的次数达到预设次数;若是,则从所述WAF服务配置信息中删除所述WAF服务器对应的WAF服务地址,并将所述网络请求包发送给新的WAF服务地址对应的WAF服务器。
在调用所述WAF服务地址对应的WAF服务器的过程中,可以检测是否存在调用所述WAF服务器连续失败的次数达到预设次数,若是,则说明该WAF服务器很有可能宕机,此时从WAF服务配置信息中删除该WAF服务器对应的WAF服务地址,然后将网络请求包发送给新的WAF服务地址对应的WAF服务器,如此保证了网络安全防护的正常进行。
步骤S30,当接收到所述WAF服务器返回的所述网络请求包为恶意的网络请求包的判断结果时,拦截所述网络请求包。
该步骤中,当nginx服务器接收到WAF服务器返回的所述网络请求包为恶意的网络请求包的判断结果时,拦截所述网络请求包,由此实现了Web应用防护功能。
在本实施例中,当nginx服务器接收到客户端发送的网络请求包时,从预先保存的WAF服务配置信息中获取一个可用的WAF服务地址;将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器,以使所述WAF服务器根据预置的WAF策略判断所述网络请求包是否为恶意的网络请求包;当接收到所述WAF服务器返回的所述网络请求包为恶意的网络请求包的判断结果时,拦截所述网络请求包。这种方式通过将WAF策略从nginx服务器中分离出来作为单独的服务,使得在进行Web应用防护时不侵入nginx服务器,避免了对nginx服务器的影响,且可以灵活地变更WAF服务配置信息和WAF策略,从而提高了基于nginx服务器的Web应用防护性能。
进一步地,基于上述第一实施例,提出本发明网络安全防护方法第二实施例。
在本实施例中,所述将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤可以进一步包括:
调用预设的网络接口,所述网络接口包括采用用户数据报协议UDP的UDP接口和采用传输控制协议TCP的TCP接口中的任意一种;通过所述网络接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器。
具体实施时,nginx服务器可以预先封装一个网络模块,该网络模块提供对外的网络接口,网络接口包括采用用户数据报协议UDP(User Datagram Protocol)的UDP接口和采用传输控制协议TCP(Transmission Control Protocol)的TCP接口中的任意一种;更进一步地,网络模块可以提供三个对外的API(Application Programming Interface,应用程序编程接口):同步发送UDP、异步发送UDP和异步发送TCP,其中同步发送UDP表示基于UDP协议的同步发送接口,异步发送UDP表示基于UDP协议的异步发送接口,异步发送TCP表示基于TCP协议的异步发送接口。
当nginx服务器接收到客户端发送的网络请求包时,可以灵活选取不同的网络接口将网络请求包发送给获取到的WAF服务地址对应的WAF服务器,如此不用关注网络事件与nginx事件之间的协同,只需要根据相应的场景调用相应的API即可。
作为一种实施方式,所述通过所述网络接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤可以包括:判断所述网络请求包的大小是否超过预设大小;若是,则为未超出部分的包体分配预设的固定内存,为超出部分的包体分配动态内存,并将超出部分的包体通过调用异步发送TCP接口的方式发送给所述WAF服务地址对应的WAF服务器。
具体地,由于nginx服务器将网络请求包发送给WAF服务器以及从WAF服务器接收回包时,都需要一块内存来组包和解包,因此在nginx插件启动时,可以预先分配一块固定内存供存放请求包和回包,根据现有的nginx的事件循环机制,在接收到请求包和回包时,仅需在这块固定内存上反复读写即可。
考虑到某些网络请求包过大的情况,这种情况下会存在两个问题:1、网络请求包会过多占用预设的固定内存,从而影响系统性能;2、网络请求包发送给WAF服务器进行判断时会耗费较长时间,在得到判断结果后,网络请求包才能发送给业务后台,导致网络发送效率较低。
为此,当nginx服务器通过网络接口将网络请求包发送给WAF服务器时,可以首先判断该网络请求包的大小是否超过预设大小,若是,则获取未超出预设大小部分的包体,并为该未超出部分的包体分配固定内存,且为超出部分的包体分配动态内存,如此避免过大的包体过多占用固定内存对系统性能的影响;然后,将超出部分的包体通过调用异步发送TCP接口的方式发送给WAF服务地址对应的WAF服务器用于离线计算,此时请求无需等待超过部分的响应,可以并行到达后续流程,即可以同时到达WAF服务器和业务后台,通过这种方式,提高了网络发送效率。
作为另一种实施方式,所述通过所述网络接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤还可以包括:当调用所述UDP接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器时,通过一个网络上下文对象记录所述网络请求包的请求状态;基于预置的多个内存池为所述网络上下文对象分配内存,其中每个内存池的容量大于或等于所述nginx服务器每秒能够处理的消息数TPS与所述WAF服务器的响应耗时之积。
具体地,当nginx服务器调用UDP接口将网络请求包发送给WAF服务器时,由于基于UDP协议的数据发送不需要建立nginx服务器和WAF服务器之间的连接,为记录两者的交互状态,nginx服务器可以通过一个网络上下文对象来记录网络请求包的请求状态,例如,可以为每个请求生成一个唯一的id,以记录不同请求的状态。
在通过网络上下文对象记录网络请求包的请求状态时,需要为所述网络上下文对象分配内存,具体地,nginx服务器可以基于预置的多个内存池为所述网络上下文对象分配内存,例如,当预置有两个内存池A、B时,每次分配内存时可以先从A内存池中获取,当A池用满之后再从B池中获取,同时A池开始回收内存并清空,当B池用满时,重新使用A池,如此形成了一种轮转的内存分配方式,有利于提升系统性能。进一步地,可以将每个内存池的容量设置为大于或等于所述nginx服务器每秒能够处理的消息数TPS(Transaction PerSecond)与所述WAF服务器的响应耗时之积,比如nginx服务器每秒能够处理1000个请求,WAF服务器的响应耗时为10s,则每个内存池需至少可以容纳10000个请求消息数,如此保证了在等待WAF服务器的响应的过程中nginx服务器的内存池足以容纳产生的请求消息数,进一步提升了系统性能。
进一步地,基于上述第一、第二实施例,提出本发明网络安全防护方法第三实施例。
在本实施例中,所述当接收到所述WAF服务器返回的所述网络请求包为恶意的网络请求包的判断结果时,拦截所述网络请求包的步骤之后,还可以包括:定期从所述WAF服务器获取WAF服务的配置更新信息;根据获取到的所述配置更新信息对预先保存的WAF服务配置信息进行更新。
由于WAF服务器可以横向扩展,其状态也可以灵活变更,因此,nginx服务器可以定期通过网络模块从WAF服务器获取WAF服务的配置更新信息,包括WAF服务器的增加、删除、启用、停用等,然后根据该配置更新信息对预先保存的WAF服务配置信息进行更新,如此实现了WAF服务配置信息的动态、灵活地更新。
进一步地,所述网络安全防护方法还可以包括:记录从接收所述网络请求包到将所述网络请求包发送给所述WAF服务器过程中的异常信息,将记录的所述异常信息定期发送给所述WAF服务器。
在基于nginx服务器的网络安全防护过程中,nginx服务器可以记录将网络请求包发送给WAF服务器过程中的异常信息,该异常信息包括但不限于申请内存失败、请求WAF服务超时等,然后将该异常信息定期发送给WAF服务器,如此WAF服务器可以通过异常信息获知nginx服务器的异常状态,以及自身的异常状态,并对异常状态进行分析,以及时采取相应措施。
本发明还提供一种网络安全防护设备。
本发明网络安全防护设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络安全防护程序,所述网络安全防护程序被所述处理器执行时实现如上所述的网络安全防护方法的步骤。
其中,在所述处理器上运行的网络安全防护程序被执行时所实现的方法可参照本发明网络安全防护方法各个实施例,此处不再赘述。
本发明还提供一种计算机可读存储介质。
本发明计算机可读存储介质上存储有网络安全防护程序,所述网络安全防护程序被处理器执行时实现如上所述的网络安全防护方法的步骤。
其中,在所述处理器上运行的网络安全防护程序被执行时所实现的方法可参照本发明网络安全防护方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种网络安全防护方法,其特征在于,所述网络安全防护方法包括如下步骤:
当nginx服务器接收到客户端发送的网络请求包时,从预先保存的WAF服务配置信息中获取一个可用的WAF服务地址;
将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器,以使所述WAF服务器根据预置的WAF策略判断所述网络请求包是否为恶意的网络请求包;
当接收到所述WAF服务器返回的所述网络请求包为恶意的网络请求包的判断结果时,拦截所述网络请求包。
2.如权利要求1所述的网络安全防护方法,其特征在于,所述将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤包括:
调用预设的网络接口,所述网络接口包括采用用户数据报协议UDP的UDP接口和采用传输控制协议TCP的TCP接口中的任意一种;
通过所述网络接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器。
3.如权利要求2所述的网络安全防护方法,其特征在于,所述通过所述网络接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤包括:
判断所述网络请求包的大小是否超过预设大小;
若是,则为未超出部分的包体分配预设的固定内存,为超出部分的包体分配动态内存,并将超出部分的包体通过调用异步发送TCP接口的方式发送给所述WAF服务地址对应的WAF服务器。
4.如权利要求2所述的网络安全防护方法,其特征在于,所述通过所述网络接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤包括:
当调用所述UDP接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器时,通过一个网络上下文对象记录所述网络请求包的请求状态;
基于预置的多个内存池为所述网络上下文对象分配内存,其中每个内存池的容量大于或等于所述nginx服务器每秒能够处理的消息数TPS与所述WAF服务器的响应耗时之积。
5.如权利要求1所述的网络安全防护方法,其特征在于,所述将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤包括:
在调用所述WAF服务地址对应的WAF服务器的过程中,检测是否存在调用所述WAF服务器连续失败的次数达到预设次数;
若是,则从所述WAF服务配置信息中删除所述WAF服务器对应的WAF服务地址,并将所述网络请求包发送给新的WAF服务地址对应的WAF服务器。
6.如权利要求1至5中任一项所述的网络安全防护方法,其特征在于,所述当接收到所述WAF服务器返回的所述网络请求包为恶意的网络请求包的判断结果时,拦截所述网络请求包的步骤之后,还包括:
定期从所述WAF服务器获取WAF服务的配置更新信息;
根据获取到的所述配置更新信息对预先保存的WAF服务配置信息进行更新。
7.如权利要求1所述的网络安全防护方法,其特征在于,所述当nginx服务器接收到客户端发送的网络请求包时,从预先保存的WAF服务配置信息中获取一个可用的WAF服务地址的步骤之后,还包括:
当未获取到任何可用的WAF服务地址时,将所述网络请求包转发至对应的业务后台。
8.如权利要求1所述的网络安全防护方法,其特征在于,所述网络安全防护方法还包括:
记录从接收所述网络请求包到将所述网络请求包发送给所述WAF服务器过程中的异常信息,将记录的所述异常信息定期发送给所述WAF服务器。
9.一种网络安全防护设备,其特征在于,所述网络安全防护设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络安全防护程序,所述网络安全防护程序被所述处理器执行时实现如权利要求1至8中任一项所述的网络安全防护方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络安全防护程序,所述网络安全防护程序被处理器执行时实现如权利要求1至8中任一项所述的网络安全防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811194179.3A CN108965348B (zh) | 2018-10-12 | 2018-10-12 | 网络安全防护方法、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811194179.3A CN108965348B (zh) | 2018-10-12 | 2018-10-12 | 网络安全防护方法、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108965348A true CN108965348A (zh) | 2018-12-07 |
| CN108965348B CN108965348B (zh) | 2021-02-19 |
Family
ID=64480656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811194179.3A Active CN108965348B (zh) | 2018-10-12 | 2018-10-12 | 网络安全防护方法、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108965348B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109905408A (zh) * | 2019-04-10 | 2019-06-18 | 广州大学 | 网络安全防护方法、系统、可读存储介质及终端设备 |
| CN109905410A (zh) * | 2019-04-17 | 2019-06-18 | 北京搜狐新媒体信息技术有限公司 | Web应用安全防护方法与Web应用防火墙系统 |
| CN110868380A (zh) * | 2018-12-19 | 2020-03-06 | 北京安天网络安全技术有限公司 | 网络流量安全监测方法、装置、电子设备及存储介质 |
| CN111399927A (zh) * | 2018-12-14 | 2020-07-10 | 北京奇虎科技有限公司 | 应用共享Class文件的方法及装置、计算设备 |
| CN111988280A (zh) * | 2020-07-24 | 2020-11-24 | 网宿科技股份有限公司 | 服务器与请求处理方法 |
| CN112995186A (zh) * | 2021-03-09 | 2021-06-18 | 上海明略人工智能(集团)有限公司 | 适用于mqtt服务安全保障的改善方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8468347B2 (en) * | 2009-02-19 | 2013-06-18 | Emc Corporation | Secure network communications |
| CN105187416A (zh) * | 2015-08-24 | 2015-12-23 | 国网北京市电力公司 | 应用于充电系统的安全防护方法、装置及系统 |
| CN106453397A (zh) * | 2016-11-18 | 2017-02-22 | 北京红马传媒文化发展有限公司 | 一种通过分析大数据自动识别网络抢票及入侵的方法 |
| CN106933670A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种动态管理应用程序内存的方法 |
| CN106993006A (zh) * | 2017-06-16 | 2017-07-28 | 郑州云海信息技术有限公司 | 一种云平台上web防火墙的实现方法 |
| CN107426206A (zh) * | 2017-07-17 | 2017-12-01 | 北京上元信安技术有限公司 | 一种对web服务器的防护装置和方法 |
-
2018
- 2018-10-12 CN CN201811194179.3A patent/CN108965348B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8468347B2 (en) * | 2009-02-19 | 2013-06-18 | Emc Corporation | Secure network communications |
| CN105187416A (zh) * | 2015-08-24 | 2015-12-23 | 国网北京市电力公司 | 应用于充电系统的安全防护方法、装置及系统 |
| CN106933670A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种动态管理应用程序内存的方法 |
| CN106453397A (zh) * | 2016-11-18 | 2017-02-22 | 北京红马传媒文化发展有限公司 | 一种通过分析大数据自动识别网络抢票及入侵的方法 |
| CN106993006A (zh) * | 2017-06-16 | 2017-07-28 | 郑州云海信息技术有限公司 | 一种云平台上web防火墙的实现方法 |
| CN107426206A (zh) * | 2017-07-17 | 2017-12-01 | 北京上元信安技术有限公司 | 一种对web服务器的防护装置和方法 |
Non-Patent Citations (1)
| Title |
|---|
| 郭龙龙: "Web应用防火墙在电子商务平台的应用", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111399927A (zh) * | 2018-12-14 | 2020-07-10 | 北京奇虎科技有限公司 | 应用共享Class文件的方法及装置、计算设备 |
| CN110868380A (zh) * | 2018-12-19 | 2020-03-06 | 北京安天网络安全技术有限公司 | 网络流量安全监测方法、装置、电子设备及存储介质 |
| CN110868380B (zh) * | 2018-12-19 | 2022-08-23 | 北京安天网络安全技术有限公司 | 网络流量安全监测方法、装置、电子设备及存储介质 |
| CN109905408A (zh) * | 2019-04-10 | 2019-06-18 | 广州大学 | 网络安全防护方法、系统、可读存储介质及终端设备 |
| CN109905408B (zh) * | 2019-04-10 | 2021-07-13 | 广州大学 | 网络安全防护方法、系统、可读存储介质及终端设备 |
| CN109905410A (zh) * | 2019-04-17 | 2019-06-18 | 北京搜狐新媒体信息技术有限公司 | Web应用安全防护方法与Web应用防火墙系统 |
| CN111988280A (zh) * | 2020-07-24 | 2020-11-24 | 网宿科技股份有限公司 | 服务器与请求处理方法 |
| CN112995186A (zh) * | 2021-03-09 | 2021-06-18 | 上海明略人工智能(集团)有限公司 | 适用于mqtt服务安全保障的改善方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108965348B (zh) | 2021-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108965348A (zh) | 网络安全防护方法、设备及计算机可读存储介质 | |
| CN108200146B (zh) | 一种轻量级的微服务架构实现方法 | |
| US8433792B2 (en) | System and method for optimization of execution of security tasks in local network | |
| JP6495010B2 (ja) | トラフィックディレクタ環境におけるトラフィックのアクティブ−パッシブルーティングおよび制御のためのシステムおよび方法 | |
| US7409482B2 (en) | Computer and method for on-demand network access control | |
| US8625431B2 (en) | Notifying network applications of receive overflow conditions | |
| EP3352431B1 (en) | Network load balance processing system, method, and apparatus | |
| EP2901280A2 (en) | Method and system for sharing vpn connections between applications | |
| US8458366B2 (en) | Method and system for onloading network services | |
| US20110173319A1 (en) | Apparatus and method for operating server using virtualization technique | |
| US8539089B2 (en) | System and method for vertical perimeter protection | |
| CN102307220A (zh) | 一种跨域网页信息交互方法 | |
| CN103685315A (zh) | 一种防御拒绝服务攻击的方法及系统 | |
| WO2008155429A2 (en) | Systems, methods, and media for firewall control via process interrogation | |
| CN111800441B (zh) | 数据处理方法、系统、装置、用户端服务器、用户端及管控服务器 | |
| CN105429975A (zh) | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 | |
| CN109889468A (zh) | 网络数据的传输方法、系统、装置、设备及存储介质 | |
| CN104484219A (zh) | 虚拟化平台中下发策略的方法和装置 | |
| US20120185937A1 (en) | System and method for selectively storing web objects in a cache memory based on policy decisions | |
| US7363383B2 (en) | Running a communication protocol state machine through a packet classifier | |
| CN116319764A (zh) | 云桌面安全管控方法、设备、存储介质和系统 | |
| IL186289A (en) | System and method for secure web browsing using server-based computing configuration | |
| CN105230074B (zh) | 视频缓存切换处理方法、装置和系统 | |
| CN113242210A (zh) | 一种基于用户等级分流的防DDoS方法和系统 | |
| CN110855787A (zh) | 基于Consul实现OpenResty动态负载均衡的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |