CN109660523A - Waf导流装置、系统和方法 - Google Patents

Abstract

本发明涉及一种WAF导流装置、系统和方法，WAF导流装置包括：WAF计算集群模块，配置用于：接收转发的接入请求，并基于预设WAF判断规则对所述接入请求进行解析和判断，以及发送解析判断结果；WAF接入层模块，配置用于：接收用户端的所述接入请求并转发所述接入请求至所述WAF计算集群模块，以及用于接收和判断所述解析判断结果的合法性，并根据判断结果执行相应的操作；其中，所述WAF计算集群模块和WAF接入层模块位于不同的服务器。通过将大量占用CPU资源部分的WAF判断规则从WAF接入层中分离出来，通过计算集群的方式来单独计算，实现接入与计算逻辑分离，保证WAF接入层的并发量。

Description

WAF导流装置、系统和方法

技术领域

本发明涉及中间件领域，尤其涉及一种WAF导流装置、系统和方法。

背景技术

随着Web应用越来越丰富，传统的基于防火墙方式的安全措施在现实使用中会存在很多问题。由此产生了WAF(Web Application Firewall,Web应用防火墙)，其通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供安全性保证的产品。

如图3所示，一般的做法是将waf规则集成在waf client((即WAF接入层))里，但是这样会导致waf client性能低下，因为waf规则匹配计算会消耗大量CPU资源，也会阻塞wafclient(即下面说的接入层)对外提供服务。

发明内容

为了解决上述技术问题，本发明的目的在于提供一种WAF导流装置、系统和方法。

根据本发明的另一个方面，提供了一种WAF导流装置，包括：

WAF计算集群模块，配置用于：

接收转发的接入请求，并基于预设WAF判断规则对所述接入请求进行解析和判断，以及发送解析判断结果；

WAF接入层模块，配置用于：

接收用户端的所述接入请求并转发所述接入请求至所述WAF计算集群模块，

以及用于接收和判断所述解析判断结果的合法性，并根据判断结果执行相应的操作；

其中，所述WAF计算集群模块和WAF接入层模块位于不同的服务器。

进一步的，WAF接入层模块还配置用于在所述转发所述接入请求至WAF计算集群前，判断WAF开关是否打开，若打开，则转发所述接入请求至所述WAF计算集群，若未打开，则转发至应用端，目的是为了灵活，即当整个WAF计算集群因为网络或其他原因导致其无法使用时，或者WAF接入层不能够将流量及时导入到计算集群时，可以通过直接WAF修改接入层的配置，直接将接入请求转发至应用端。

进一步的，WAF计算集群模块，还配置用于：获取计算量上限区间，若达到计算量上限区间则停止接收转发的接入请求；

WAF接入层模块，还配置用于：

为WAF计算集群模块拒收的接入请求设置等待时长阈值，若所述接入请求等待时长超出阈值没有被WAF计算集群模块接收，则转发至应用端。

进一步的，所述WAF计算集群装置还配置用于每次启动时加载一项或多项预设的配置文件。

进一步的，WAF计算集群模块，包括：

解析和判断单元，配置用于基于预设WAF判断规则对所述接入请求进行解析和判断，若所述接入请求合法则返回第一预设值，否则返回第二预设值；

第一通信单元，配置用于根据解析和判断结果返回第一预设值/第二预设值。

WAF接入层模块，包括：

接收和判断单元，配置用于接收并识别WAF计算集群返回的预设值；第二通信单元，配置用于，根据判断结果执行相应的操作，若识别为第一预设值则判断为合法，转发所述接入请求至应用端；若识别为第二预设值则判断为不合法反馈至用户端。

根据本发明的另一个方面，提供了一种WAF导流系统，包括用户端、应用端和上述任意一项所述的WAF导流装置；其中，用户端通过WAF导流装置基于预设WAF判断规则与应用端进行数据通信。

根据本发明的另一个方面，提供了一种WAF导流方法，包括

通过WAF接入层接收用户端的接入请求，

转发所述接入请求至WAF计算集群，基于预设WAF判断规则对所述接入请求进行解析和判断并返回解析判断结果；

根据所述解析判断结果，判断所述接入请求是否合法；

根据合法性与否执行相应的操作；

其中所述WAF接入层和所述WAF计算集群位于不同的服务器。

进一步的，在所述转发所述接入请求至WAF计算集群前，，还包括：判断WAF开关是否打开，若打开，则转发所述接入请求至所述WAF计算集群，若未打开，则转发至应用端。

进一步的，所述通过WAF接入层转发所述接入请求至WAF计算集群前，还包括：通过WAF计算集群获取计算量上限区间，若接入请求数量达到计算量上限区间则WAF计算集群停止接收转发的接入请求；

通过WAF接入层为WAF计算集群拒收的接入请求设置等待时长阈值，若所述接入请求超出等待时长阈值没有被WAF计算集群接收，则转发至应用端。

进一步的，

基于预设WAF判断规则对所述接入请求进行解析和判断并返回解析判断结果，包括：WAF计算集群基于预设WAF判断规则对所述接入请求进行解析和判断，若所述接入请求合法则返回第一预设值，否则返回第二预设值；

判断所述解析判断结果的合法性，并根据判断结果执行相应的操作，包括：通过WAF接入层接收并识别WAF计算集群返回的预设值，若识别为第一预设值则判断为合法，转发所述接入请求至应用端；若识别为第二预设值则判断为不合法反馈至用户端。

根据本发明的另一个方面，提供了一种设备，所述设备包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行如上述任一项所述的方法。

根据本发明的另一个方面，提供了一种存储有计算机程序的计算机可读存储介质，该程序被处理器执行时实现如上述任一项所述的方法。

与现有技术相比，本发明具有如下有益效果：

1、本发明WAF导流装置，WAF计算集群模块和WAF接入层模块位于不同的服务器，将规则匹配计算从WAF接入层模块(waf client)分离出来，单独建立一个WAF高性能计算集群来处理WAF规则的匹配计算，WAF接入层模块只负责接入请求的接入，保证接入层的并发量，提高waf系统整体的数据导流能力，另外，将WAF规则判断分离到独立的计算集群，能够选择性降低服务器配置，不仅灵活性好，而且能够降低成本。

2、本发明WAF导流方法，WAF接入层和所述WAF计算集群位于不同的服务器，通过将大量占用CPU资源的WAF规则的匹配计算从WAF接入层中分离出来，通过计算集群的方式进行单独计算，实现接入与计算的逻辑分离，提升WAF接入层接收接入请求的能力。

3、本发明示例的WAF导流系统，将WAF接入层和WAF计算集群拆分之后，用户端通过WAF导流装置基于预设WAF判断规则与应用端进行数据通信，如果WAF导流系统的性能瓶颈在WAF判断规则计算上，计算集群已经饱和而又临时无法扩容，在这种情况下，为了不应用客户对系统的使用可以采用对超出WAF计算集群计算能力的部分不进行计算，相比较一体设置的WAF导流系统，没有拆分为接入层和计算集群的话，只能对接入数据全部计算或全部放过，能够选择性降低或提升服务器配置，不仅灵活性好，而且能够降低运行成本。

附图说明

图1为本发明实施例1WAF导流系统的结构框图。

图2为现有技术中WAF实现流程图。

图3为WAF导流方法流程图。

图4示出了适于用来实现本申请实施例的服务器的计算机系统的结构示意图。

具体实施方式

为了更好的了解本发明的技术方案，下面结合具体实施例、说明书附图对本发明作进一步说明。

实施例1:

本实施例提供一种WAF导流装置包括WAF计算集群模块、WAF接入层模块，所述WAF计算集群模块和WAF接入层模块位于不同的服务器。

WAF计算集群模块，配置用于：

接收转发的接入请求，并基于预设WAF判断规则对所述接入请求进行解析和判断，以及发送解析判断结果；

获取计算量上限区间，若达到计算量上限区间则停止接收转发的接入请求，计算量上限区间由WAF计算集群模块的配置决定；

WAF接入层模块，配置用于：

对外提供接入请求服务，接入请求包括前端用户常用的HTTP网络接入请求、HTTPS网络接入请求等，接收用户端的所述接入请求后判断WAF开关是否打开，若打开，则转发所述接入请求至所述WAF计算集群，并为WAF计算集群模块拒收的接入请求设置等待时长阈值，若所述接入请求等待时长超出阈值没有被WAF计算集群模块接收，则转发至应用端。若未打开，则转发所述接入请求至应用端；

接收和判断所述解析判断结果的合法性，并根据判断结果执行相应的操作，即确定接入请求的转发方向(根据判断结果执行相应的操作),具体为：

基于预设WAF判断规则对所述接入请求进行解析和判断，若所述接入请求合法则返回第一预设值，否则返回第二预设值；

接收并识别WAF计算集群返回的预设值；

若返回第一预设值则判断为合法，若返回第二预设值则判断为不合法；所述解析判断结果合法，则转发所述接入请求至应用端，否则，反馈至用户端。

其中，WAF计算集群指Web应用防火墙高性能计算集群(Web ApplicationFirewall High-Performance Computing Cluster)，应用层可以为云管理平台等。

首先，接收单元等待前端用户的接入请求，当请求过来后，判断单元首判断本地的WAF开关是否打开，如果打开，则连接WAF计算集群，并将该接入请求转发给WAF计算集群，并等待WAF计算集群的返回结果，如果未打开，则将请求直接转发给应用端。

WAF接入层模块首先将用户接入请求通过TCP连接转发至WAF计算集群模块。

判断是否向应用端转发接入请求，包括：根据WAF计算集群的返回结果，判断本次接入请求是否合法，若合法，则转发至应用层，否则，返回用户。

WAF接入层模块存在于一个服务器，WAF计算集群模块存在于另外一个服务器，用户连接到WAF接入层模块，将接入请求(包括访问数据)发送给WAF接入层模块，然后WAF接入层模块会将数据转发给WAF计算集群模块，由WAF计算集群模块来计算用户的接入请求是否合法，相比较一体式WAF导流装置，即WAF接入层模块既做接收接入请求又做WAF判断规则计算，则在计算的过程中，是无法对新的接入请求提供服务的，则用户的接入请求只能等待接入，造成卡顿；但是拆分后，WAF计算集群模块在计算时，并不影响WAF接入层模块对新客户提供服务，而且通过从WAF接入层模块剥离计算部分的逻辑，这样让WAF接入层模块的逻辑更简洁单一，其使用的服务器配置也可以相对降低，可以降低成本和维护费用，WAF计算集群模块由于主要功能是做计算，这样可以对服务器做定制处理，比如使用计算性能更好的GPU来做计算等,举例说明：即使WAF计算集群模块同时只能计算10个用户的数据，但是不影响WAF接入层模块对超过10个之后的新用户提供服务，因为可以采用对超过10个之后的新用户的数据不做计算处理，直接转发至应用端(如顺丰云管理平台)。将规则匹配计算从WAF接入层模块(waf client)分离出来，单独建立一个WAF高性能计算集群来处理WAF规则的匹配计算，WAF接入层模块只负责接入请求的接入，保证接入层的并发量，提高waf系统整体的数据导流能力，另外，将WAF规则判断分离到独立的计算集群，能够选择性降低服务器配置，不仅灵活性好，而且能够降低成本。

另外，本方案是提的waf client(WAF接入层)的导流，也可以将接入请求导入到其他的设备，比如存储设备等等。

一种WAF导流系统，包括用户端、应用端和上述所述的WAF导流装置；WAF接入层为后台的一个服务程序，用于对客户提供服务；WAF计算集群为后台的另一个服务程序，用于计算审计用户发送的接入请求是否合法其中，用户端通过WAF导流装置基于预设WAF判断规则与应用端进行数据通信，将WAF接入层和WAF计算集群拆分之后，用户端通过WAF导流装置基于预设WAF判断规则与应用端进行数据通信，如果WAF导流系统的性能瓶颈在WAF判断规则计算上，计算集群已经饱和而又临时无法扩容，在这种情况下，为了不应用客户对系统的使用可以采用对超出WAF计算集群计算能力的部分不进行计算，相比较一体设置的WAF导流系统，没有拆分为接入层和计算集群的话，只能对接入数据全部计算或全部放过，能够选择性降低或提升服务器配置，不仅灵活性好，而且能够降低运行成本。

所述WAF导流装置对应的导流方法，包括如下步骤：

S1：通过WAF接入层接收用户端的接入请求；

S2:判断WAF开关是否打开，

S3-1:若WAF开关打开，

S3-1-1:获取WAF计算集群计算量上限区间，若接入请求数量达到计算量上限区间则WAF计算集群停止接收转发的接入请求，接收接入请求在WAF接入层进行等待，至接入请求数量降至计算量上限区间以下转入步骤S4；

通过WAF接入层为WAF计算集群拒收的接入请求设置等待时长阈值，若所述接入请求超出等待时长阈值没有被WAF计算集群接收，则转入步骤S7；

S3-1-2:若未达到计算量上限区间，则转入步骤S4；

S3-2:若未打开，则转入步骤S7；

S4:转发所述接入请求至WAF计算集群，基于预设WAF判断规则对所述接入请求进行解析和判断并返回解析判断结果；

S5:根据所述解析判断结果，判断所述接入请求是否合法；

S6:若所述解析判断结果合法，则转入步骤S7，否则转入步骤S8。

S7:转发所述接入请求至应用端；

S8:反馈至用户端。

具体的，WAF判断规则类型有如下几种：

A1:Injection//注入漏洞

A2:Cross-Site Scripting(XSS)//跨站脚本

A3:Broken Authentication and Session Management//错误的授权和会话管理

A4:Insecure Direct Object References//不正确的直接对象引用

A5:Cross-Site Request Forgery(CSRF)//伪造跨站请求

A6:Security Misconfiguration//安全性错误配置

A7:Insecure Cryptographic Storage//不安全的加密存储

A8:Failure to Restrict URL Access//未验证的重定向和传递

A9:Insufficient Transport Layer Protection//不足的传输层防护

A10:Unvalidated Redirects and Forwards//无效的重定向和转发

A11:black IP//黑名单。

上述A1-A11中的11中解析规则中，其中一种或多种配置于WAF计算集群，在每次启动时进行加载，每次启动时加载配置文件的好处是：程序在运行过程中，从内存读取的速度远远快于从文件读取的速度。

判断所述解析判断结果的合法性，包括：

基于预设WAF判断规则对所述接入请求进行解析和判断，若所述接入请求合法则返回第一预设值(如200)，否则返回第二预设值(如403)；

接收并识别WAF计算集群返回的预设值；

若返回第一预设值则判断为合法，若返回第二预设值则判断为不合法。

WAF接入层和所述WAF计算集群位于不同的服务器，通过将大量占用CPU资源的WAF规则的匹配计算从WAF接入层中分离出来，通过计算集群的方式进行单独计算，实现接入与计算的逻辑分离，提升WAF接入层接收接入请求的能力。

另外，本方案是提的waf client(这里需要理解为waf接入层)的导流，也就是说，目前只是通过waf client将用户数据导入到高性能计算集群，未来也许会导入到其他的地方，比如存储等等。

此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。

本实施例提供了一种设备，所述设备包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行如上任一项所述的方法。通过处理器执行WAF导流方法，能够提升WAF接入层接收接入请求的能力。

本实施例提供了一种存储有计算机程序的计算机可读存储介质，该程序被处理器执行时实现如上任一项所述的方法，储存有被处理器执行时实现的所述WAF导流方法，便于WAF接入层装置的使用及推广，进一步介绍如下：

计算机系统包括中央处理单元(CPU)101，其可以根据存储在只读存储器(ROM)102中的程序或者从存储部分加载到随机访问存储器(RAM)103中的程序而执行各种适当的动作和处理。在RAM103中，还存储有系统操作所需的各种程序和数据。CPU 101、ROM 102以及RAM 103通过总线104彼此相连。输入/输出(I/O)接口105也连接至总线104。

以下部件连接至I/O接口105：包括键盘、鼠标等的输入部分106；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分；包括硬盘等的存储部分108；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分109。通信部分109经由诸如因特网的网络执行通信处理。驱动器也根据需要连接至I/O接口105。可拆卸介质511，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器510上，以便于从其上读出的计算机程序根据需要被安装入存储部分108。

特别地，根据本发明的实施例，上文参考流程图4描述的过程可以被实现为计算机软件程序。例如，本发明的实施例1包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分从网络上被下载和安装，和/或从可拆卸介质被安装。在该计算机程序被中央处理单元(CPU)101执行时，执行本申请的系统中限定的上述功能。

需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明实施例1的装置、系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。所描述的单元或模块也可以设置在处理器中，例如，可以描述为：一种处理器包括WAF计算集群模块、WAF接入层模块。其中，这些模块的名称在某种情况下并不构成对该单元或模块本身的限定，例如，WAF计算集群模块还可以被描述为“用于接收转发的接入请求，并基于预设WAF判断规则对所述接入请求进行解析和判断，以及发送解析判断结果的计算模块”。

作为另一方面，本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现如上述实施例中所述的WAF导流方法。

例如，所述电子设备可以实现如图1中所示的：步骤S1：通过WAF接入层接收用户端的接入请求；步骤S2：转发所述接入请求至WAF计算集群，基于预设WAF判断规则对所述接入请求进行解析和判断并返回解析判断结果；步骤S3：根据所述解析判断结果，判断所述接入请求是否合法；步骤S4：根据合法性与否执行相应的操作；其中所述WAF接入层和所述WAF计算集群位于不同的服务器。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能。

Claims (10)

1.一种WAF导流装置，其特征在于，包括：

WAF计算集群模块，配置用于：

接收转发的接入请求，并基于预设WAF判断规则对所述接入请求进行解析和判断，以及发送解析判断结果；

WAF接入层模块，配置用于：

接收用户端的所述接入请求并转发所述接入请求至所述WAF计算集群模块，

以及用于接收和判断所述解析判断结果的合法性，并根据判断结果执行相应的操作；

其中，所述WAF计算集群模块和WAF接入层模块位于不同的服务器。

2.根据权利要求1所述的WAF导流装置，其特征在于，WAF接入层模块还配置用于在转发所述接入请求至WAF计算集群前判断WAF开关是否打开，若打开，则转发所述接入请求至所述WAF计算集群，若未打开，则转发至应用端。

3.根据权利要求1或2所述的WAF导流装置，其特征在于，

WAF计算集群模块，还配置用于：获取计算量上限区间，若达到计算量上限区间则停止接收转发的接入请求；

WAF接入层模块，还配置用于：

为WAF计算集群模块拒收的接入请求设置等待时长阈值，若所述接入请求等待时长超出阈值没有被WAF计算集群模块接收，则转发至应用端。

4.根据权利要求1所述的WAF导流装置，其特征在于，所述WAF计算集群装置还配置用于每次启动时加载一项或多项预设的配置文件。

5.根据权利要求1-4任一项所述的WAF导流装置，其特征在于，

WAF计算集群模块，包括：

解析和判断单元，配置用于基于预设WAF判断规则对所述接入请求进行解析和判断，若所述接入请求合法则返回第一预设值，否则返回第二预设值；

第一通信单元，配置用于根据解析和判断结果返回第一预设值/第二预设值。

WAF接入层模块，包括：

接收和判断单元，配置用于接收并识别WAF计算集群返回的预设值；第二通信单元，配置用于，根据判断结果执行相应的操作，若识别为第一预设值则判断为合法，转发所述接入请求至应用端；若识别为第二预设值则判断为不合法反馈至用户端。

6.一种WAF导流系统，其特征在于,包括用户端、应用端和权利要求1-5任意一项所述的WAF导流装置；其中，用户端通过WAF导流装置基于预设WAF判断规则与应用端进行数据通信。

7.一种WAF导流方法，其特征在于,包括

通过WAF接入层接收用户端的接入请求，转发所述接入请求至WAF计算集群；

WAF计算集群基于预设WAF判断规则对所述接入请求进行解析和判断并返回解析判断结果；

WAF接入层根据所述解析判断结果，判断所述接入请求是否合法，并根据合法性与否执行相应的操作；

其中所述WAF接入层和所述WAF计算集群位于不同的服务器。

8.根据权利要求7所述的一种WAF导流方法，其特征在于，所述通过WAF接入层转发所述接入请求至WAF计算集群前，还包括：判断WAF开关是否打开，若打开，则转发所述接入请求至所述WAF计算集群，若未打开，则转发至应用端。

9.根据权利要求7所述的一种WAF导流方法，其特征在于，所述通过WAF接入层转发所述接入请求至WAF计算集群前，还包括：通过WAF计算集群获取计算量上限区间，若接入请求数量达到计算量上限区间则WAF计算集群停止接收转发的接入请求；

通过WAF接入层为WAF计算集群拒收的接入请求设置等待时长阈值，若所述接入请求超出等待时长阈值没有被WAF计算集群接收，则转发至应用端。

10.根据权利要求9所述的一种WAF导流方法，其特征在于，

基于预设WAF判断规则对所述接入请求进行解析和判断并返回解析判断结果，包括：WAF计算集群基于预设WAF判断规则对所述接入请求进行解析和判断，若所述接入请求合法则返回第一预设值，否则返回第二预设值；

判断所述解析判断结果的合法性，并根据判断结果执行相应的操作，包括：通过WAF接入层接收并识别WAF计算集群返回的预设值，若识别为第一预设值则判断为合法，转发所述接入请求至应用端；若识别为第二预设值则判断为不合法反馈至用户端。