CN110581843B - 一种拟态Web网关多应用流量定向分配方法 - Google Patents
一种拟态Web网关多应用流量定向分配方法 Download PDFInfo
- Publication number
- CN110581843B CN110581843B CN201910772335.8A CN201910772335A CN110581843B CN 110581843 B CN110581843 B CN 110581843B CN 201910772335 A CN201910772335 A CN 201910772335A CN 110581843 B CN110581843 B CN 110581843B
- Authority
- CN
- China
- Prior art keywords
- web
- http request
- mimicry
- gateway
- web gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种拟态Web网关多应用流量定向分配方法,该方法通过一个流量分配模块来处理拟态Web网关接收到的HTTP请求,能够自动过滤掉非法请求并将合法请求转发到对应的Web应用所在的服务器,为受拟态Web网关保护的多个Web应用提供了统一的入口;实现三种流量定向分配模式,包括1对n分配、m对1分配和m对n分配。本发明可在不影响高并发访问连接数和吞吐量的前提下,提升Web应用的安全性;通过本发明提出的拟态Web网关多应用流量定向分配方法,可保障正常业务的功能和性能,增强Web应用应对已知漏洞和未知后门的攻击的能力。
Description
技术领域
本发明属于网络安全技术领域,具体属于拟态Web网关领域,尤其涉及一种拟态Web网关多应用流量定向分配方法。
背景技术
传统网络安全防御技术主要有防火墙、认证技术、访问控制、入侵检测、漏洞扫描、信息加密等。这些安全技术虽然能够在一定程度上保护Web应用的安全,但也因其被动防御的特点难以应对日益复杂的网络攻击。
针对传统网络安全防御技术的不足,网络空间拟态防御应运而生。拟态Web网关基于拟态防御的思想,通过动态、异构、冗余、自愈的架构设计实现了主动防御网络攻击,不但能够有效的保护了Web应用的安全,而且能够在一定程度上防御未知攻击。作为一种主动的前摄性防护方式,拟态Web网关需要具备为多个Web应用提供防护的能力,并提供统一的入口。此时就需要一种流量分配方法来将拟态Web网关的流量重定向到相应的Web服务器。
为了实现拟态Web网关的流量定向分配,结合拟态防御的思想,本发明提出了一种拟态Web网关多应用流量定向分配方法。
发明内容
本发明的目的在于针对现有技术的不足,提供一种拟态Web网关多应用流量定向分配方法。
本发明的目的是通过以下技术方案来实现的:一种拟态Web网关多应用流量定向分配方法,通过在单个或多个端口上运行流量分配模块,实现以下三种流量定向分配模式:
(1)拟态Web网关在1个特定端口上运行流量分配模块,为n个Web应用提供防护;客户端访问任意Web应用时必须通过拟态Web网关的该特定端口,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到对应Web应用所在的服务器上;
(2)拟态Web网关在m个端口上运行流量分配模块,为1个Web应用提供防护;客户端访问该Web应用时可以通过拟态Web网关m个端口中的任意一个,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到Web应用所在的服务器上;
(3)拟态Web网关在m个端口上运行流量分配模块,为n个Web应用提供防护;客户端访问任意Web应用时可以通过拟态Web网关m个端口中的任意一个端口,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到Web应用所在的服务器上。
进一步地,所述流量分配模块通过监听固定的端口来处理拟态Web网关接收到的HTTP请求,包括以下步骤:
(2.1)对于拟态Web网关接收到的HTTP请求数据包,从HTTP请求头中提取出该请求的URL;
(2.2)从步骤(2.1)提取的URL中提取HTTP请求的域名;
(2.3)在合法的域名集合中查找步骤(2.2)提取的HTTP请求的域名是否存在,如存在则认为该HTTP请求合法,否则认为该HTTP请求不合法;
(2.4)根据步骤(2.3)的判断结果做出对应的处理:如果判断HTTP请求为合法的,则根据配置文件将该请求转发到对应Web应用所在的后台服务器中;如果判断HTTP请求为不合法的,则不转发该请求,直接返回一个错误页面。
进一步地,所述步骤(2.3)中合法的域名集合从配置文件中获取;所述配置文件中保存了受拟态Web网关保护的Web应用的域名和后台IP地址组成的键值对。
本发明的有益效果是:本发明通过在单个或多个端口上运行流量分配模块,实现三种流量定向分配模式,可在不影响高并发访问连接数和吞吐量的前提下,提升Web应用的安全性;通过本发明提出的拟态Web网关多应用流量定向分配方法,可保障正常业务的功能和性能,增强Web应用应对已知漏洞和未知后门的攻击的能力。
附图说明
图1为流量分配模块的执行流程图;
图2是1对n分配的示意图;
图3是m对1分配的示意图;
图4是m对n分配的示意图。
具体实施方式
本发明一种拟态Web网关多应用流量定向分配方法,能够通过流量分配使拟态Web网关具备为多个Web应用提供拟态防护的能力,该分配方法中包含流量分配模块,执行流程图如图1所示;通过配置流量分配模块,可以实现1对n、m对1、m对n三种流量定向分配方式,m、n为大于1的自然数,如图2~4所示;在实际使用过程中,可以通过人工或者自动配置的方式,选择合适的分配方式,具体为:
本发明中包含一个流量分配模块,通过监听固定的端口来处理拟态Web网关接收到的HTTP请求,包括以下步骤:
(1)获取HTTP请求的URL(Uniform Resource Locator,统一资源定位符):HTTP请求中都包含一个URL,用于唯一定位服务器中的资源;对于拟态Web网关接收到的HTTP请求数据包,从HTTP请求头中提取出该请求的URL;
(2)获取HTTP请求的域名:进一步从步骤(1)提取的URL中提取HTTP请求的域名;通常情况下,每个Web应用都拥有不同的域名,通过HTTP请求的域名即可判定客户端想要访问的是哪一个Web应用;
(3)判断HTTP请求的域名是否为合法的域名:在合法的域名集合中查找步骤(2)提取的HTTP请求的域名是否存在,如存在则认为该HTTP请求合法,否则认为该HTTP请求不合法;所述合法的域名集合从配置文件中获取;所述配置文件中保存了受拟态Web网关保护的Web应用的域名和后台IP地址组成的键值对;
(4)根据步骤(3)的判断结果做出对应的处理:如果判断HTTP请求为合法的,则根据配置文件将该请求转发到对应Web应用所在的后台服务器中;如果判断HTTP请求为不合法的,则不转发该请求,直接返回一个错误页面。
通过在单个或多个端口上运行流量分配模块,本发明可以实现如下三种流量定向分配模式:
(a)1对n分配:此流量分配方式表示拟态Web网关在1个特定端口上运行流量分配模块,为n个Web应用提供防护;客户端访问任意Web应用时必须通过拟态Web网关的该特定端口,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到对应Web应用所在的服务器上;
(b)m对1分配:此流量分配方式表示拟态Web网关在m个端口上运行流量分配模块,为1个Web应用提供防护;客户端访问该Web应用时可以通过拟态Web网关m个端口中的任意一个,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到Web应用所在的服务器上;
(c)m对n分配:此流量分配方式表示拟态Web网关在m个端口上运行流量分配模块,为n个Web应用提供防护;客户端访问任意Web应用时可以通过拟态Web网关m个端口中的任意一个端口,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到Web应用所在的服务器上。
实施例
由于1对n分配和m对1分配都是m对n分配的特例,因此下面将以m对n分配为例说明如何使用本发明定向分配流量。为了简单而又不失一般性,我们假设m=3,n=3,三个Web应用的域名分别为www.aaa.com、www.bbb.com和www.ccc.com,Web应用所在服务器的IP地址分别为192.168.0.1、192.168.0.2和192.168.0.3。
首先配置拟态Web网关的第1个端口,令流量分配模块监听8000端口,并转发Web应用1和Web应用2的流量。为此在流量分配模块的配置文件中加入以下内容:
接下来配置拟态Web网关的第2个端口,令流量分配模块监听8001端口,并转发Web应用2和Web应用3的流量。为此在流量分配模块的配置文件中加入以下内容:
最后配置拟态Web网关的第3个端口,令流量分配模块监听8002端口,并转发Web应用1和Web应用3的流量。为此在流量分配模块的配置文件中加入以下内容:
通过以上配置,拟态Web网关就能够为3个Web应用提供防护了,此时可以通过拟态Web网关的8000端口和8002端口访问Web应用1,通过8000端口和8001端口访问Web应用2,通过8001端口和8002端口访问Web应用3。
Claims (3)
1.一种拟态Web网关多应用流量定向分配方法,其特征在于,通过在单个或多个端口上运行流量分配模块,实现以下三种流量定向分配模式:
(1)拟态Web网关在1个特定端口上运行流量分配模块,为n个Web应用提供防护;客户端访问任意Web应用时必须通过拟态Web网关的该特定端口,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到对应Web应用所在的服务器上;
(2)拟态Web网关在m个端口上运行流量分配模块,为1个Web应用提供防护;客户端访问该Web应用时通过拟态Web网关m个端口中的任意一个,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到Web应用所在的服务器上;
(3)拟态Web网关在m个端口上运行流量分配模块,为n个Web应用提供防护;客户端访问任意Web应用时通过拟态Web网关m个端口中的任意一个端口,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到Web应用所在的服务器上。
2.根据权利要求1所述拟态Web网关多应用流量定向分配方法,其特征在于,所述流量分配模块通过监听固定的端口来处理拟态Web网关接收到的HTTP请求,包括以下步骤:
(2.1)对于拟态Web网关接收到的HTTP请求数据包,从HTTP请求头中提取出该请求的URL;
(2.2)从步骤(2.1)提取的URL中提取HTTP请求的域名;
(2.3)在合法的域名集合中查找步骤(2.2)提取的HTTP请求的域名是否存在,如存在则认为该HTTP请求合法,否则认为该HTTP请求不合法;
(2.4)根据步骤(2.3)的判断结果做出对应的处理:如果判断HTTP请求为合法的,则根据配置文件将该请求转发到对应Web应用所在的后台服务器中;如果判断HTTP请求为不合法的,则不转发该请求,直接返回一个错误页面。
3.根据权利要求2所述拟态Web网关多应用流量定向分配方法,其特征在于,所述步骤(2.3)中合法的域名集合从配置文件中获取;所述配置文件中保存了受拟态Web网关保护的Web应用的域名和后台IP地址组成的键值对。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910772335.8A CN110581843B (zh) | 2019-08-21 | 2019-08-21 | 一种拟态Web网关多应用流量定向分配方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910772335.8A CN110581843B (zh) | 2019-08-21 | 2019-08-21 | 一种拟态Web网关多应用流量定向分配方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110581843A CN110581843A (zh) | 2019-12-17 |
CN110581843B true CN110581843B (zh) | 2020-12-15 |
Family
ID=68811608
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910772335.8A Active CN110581843B (zh) | 2019-08-21 | 2019-08-21 | 一种拟态Web网关多应用流量定向分配方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110581843B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111866030B (zh) * | 2020-09-21 | 2021-01-05 | 之江实验室 | 一种拟态边缘网关的工业协议识别装置及方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104519062A (zh) * | 2014-12-17 | 2015-04-15 | 深圳市航盛电子股份有限公司 | 一种创建多对socket端口连接的方法及系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102130797B (zh) * | 2011-03-17 | 2013-10-02 | 国家广播电影电视总局广播科学研究院 | 网络测试方法及装置 |
CN103457843A (zh) * | 2012-05-30 | 2013-12-18 | 阿里巴巴集团控股有限公司 | 通信方法和系统、中继网关装置、应用服务器和客户端 |
CN104951711B (zh) * | 2015-06-24 | 2017-11-07 | 浙江大学 | 一种保护web应用安全的网站结构拟态方法 |
CN104994104B (zh) * | 2015-07-06 | 2018-03-16 | 浙江大学 | 基于web安全网关的服务器指纹拟态和敏感信息拟态方法 |
CN106411937B (zh) * | 2016-11-15 | 2017-12-29 | 中国人民解放军信息工程大学 | 基于拟态防御架构的零日攻击检测、分析和响应系统及其方法 |
CN106534198B (zh) * | 2016-12-22 | 2019-10-08 | 深圳市艾森魏尔科技有限公司 | 一种智能家居网关和控制端在局域网多对多通信方法 |
-
2019
- 2019-08-21 CN CN201910772335.8A patent/CN110581843B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104519062A (zh) * | 2014-12-17 | 2015-04-15 | 深圳市航盛电子股份有限公司 | 一种创建多对socket端口连接的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110581843A (zh) | 2019-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114095198B (zh) | 用于网络安全应用的高效加密sni过滤的方法和系统 | |
US7039721B1 (en) | System and method for protecting internet protocol addresses | |
US7900240B2 (en) | Multilayer access control security system | |
EP3270564B1 (en) | Distributed security provisioning | |
US7260639B2 (en) | Method and system for protecting web sites from public internet threats | |
US10505985B1 (en) | Hostname validation and policy evasion prevention | |
EP2715522B1 (en) | Using dns communications to filter domain names | |
US8549646B2 (en) | Methods, media and systems for responding to a denial of service attack | |
US8060927B2 (en) | Security state aware firewall | |
CN111034150A (zh) | 高效ssl/tls代理 | |
US20110154477A1 (en) | Dynamic content-based routing | |
US20070022474A1 (en) | Portable firewall | |
EP4022876B1 (en) | Preventing a network protocol over an encrypted channel, and applications thereof | |
JP5864598B2 (ja) | ユーザにサービスアクセスを提供する方法およびシステム | |
Rajendran | DNS amplification & DNS tunneling attacks simulation, detection and mitigation approaches | |
Wankhede | Study of network-based DoS attacks | |
US7047564B2 (en) | Reverse firewall packet transmission control system | |
CN110581843B (zh) | 一种拟态Web网关多应用流量定向分配方法 | |
US20160205135A1 (en) | Method and system to actively defend network infrastructure | |
Jadhav et al. | Detection and mitigation of ARP spoofing attack | |
Ali et al. | Software defined network (SDN) security against address resolution protocol poisoning attack | |
Radha et al. | DEEPAV2: A DNS monitor tool for prevention of public IP DNS rebinding attack | |
Rietz | Optimization of network intrusion detection processes | |
Ouyang et al. | MLCC: A Multi Layered Correlative Control Mechanism for the VPN Topology | |
Rietz | Optimization of Network Intrusion Detection Processes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |