CN112039845A - 请求处理方法与安全防护系统 - Google Patents

请求处理方法与安全防护系统 Download PDF

Info

Publication number
CN112039845A
CN112039845A CN202010723764.9A CN202010723764A CN112039845A CN 112039845 A CN112039845 A CN 112039845A CN 202010723764 A CN202010723764 A CN 202010723764A CN 112039845 A CN112039845 A CN 112039845A
Authority
CN
China
Prior art keywords
user request
security
module
service module
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010723764.9A
Other languages
English (en)
Inventor
王斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wangsu Science and Technology Co Ltd
Original Assignee
Wangsu Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wangsu Science and Technology Co Ltd filed Critical Wangsu Science and Technology Co Ltd
Priority to CN202010723764.9A priority Critical patent/CN112039845A/zh
Publication of CN112039845A publication Critical patent/CN112039845A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources

Abstract

本发明实施例涉及网络安全技术领域,公开了一种请求处理方法与安全防护系统,请求处理方法包括:在接收到的用户请求需要安全检测时,对用户请求进行复制,并将复制的用户请求发送到安全防护模块;接收安全防护模块返回的对用户请求进行安全过滤后得到的安全策略结果;根据安全策略结果,对用户请求进行响应。本发明中,安全防护模块以旁路的方式提供安全防护服务,业务模块在执行自身业务时可以按需调用安全防护模块进行安全防护,提高了业务模块的利用率。

Description

请求处理方法与安全防护系统
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种请求处理方法与安全防护系统。
背景技术
Web应用防火墙(Web Application Firewall,简称WAF)系统主要用于对Web服务中遇到的入侵和攻击进行防护,例如DDOS防护、SQL注入、XML注入、XSS防护等。在CDN网络中,WAF系统是嵌入在边缘节点和父节点之间的专属节点中,从而能够利用WAF系统进行安全防护,WAF系统在对边缘节点发送的用户请求进行防护时,由WAF系统到父节点或源节点获取资源,并由边缘节点返回给用户。
然而,发明人发现现有技术至少存在以下技术问题:在CDN网络中,部署有WAF的边缘节点一般作为专属节点,仅用于对需要安全检测的客户请求进行处理,不支持普通客户请求的处理,导致机器部署灵活性低,并且利用率较低。
发明内容
本发明实施方式的目的在于提供一种请求处理方法与安全防护系统,安全防护模块以旁路的方式提供安全防护服务,业务模块在执行自身业务时可以按需调用安全防护模块进行安全防护,提高了业务模块的利用率;同时,实现了安全防护服务与其他业务叠加,安全防护模块可以灵活部署。
为解决上述技术问题,本发明的实施方式提供了一种请求处理方法,应用于安全防护系统的业务模块,安全防护系统还包括连接于业务模块的安全防护模块;方法包括:在接收到的用户请求需要安全检测时,对用户请求进行复制,并将复制的用户请求发送到安全防护模块;接收安全防护模块返回的对用户请求进行安全过滤后得到的安全策略结果;根据安全策略结果,对用户请求进行响应。
本发明的实施方式还提供了一种安全防护系统,包括:相互连接的业务模块与安全防护模块;业务模块用于在接收到的用户请求需要安全检测时,对用户请求进行复制,并将复制的用户请求发送到安全防护模块;安全防护模块用于对用户请求进行安全过滤,并将得到的安全策略结果发送到业务模块;业务模块还用于根据安全策略结果,对用户请求进行响应。
本发明实施方式相对于现有技术而言,业务模块能够在接收到的用户请求需要安全检测时,对用户请求进行复制,并将复制的用户请求发送到安全防护模块,安全防护模块则能够对用户请求进行安全过滤,并将得到的安全策略结果发送到业务模块,从而业务模块可以根据安全策略结果,对用户请求进行响应,即安全防护模块以旁路的方式提供安全防护服务,业务模块在执行自身业务时可以按需调用安全防护模块进行安全防护,提高了业务模块的利用率;同时,实现了安全防护服务与其他业务叠加,安全防护模块可以灵活部署。
另外,判断用户请求是否需要安全检测的方式为:在接收到用户请求时,获取用户请求包含的目标域名的配置信息;根据目标域名的配置信息,判断用户请求是否需要安全检测。本实施方式提供了判断用户请求是否需要安全检测的一种具体实现方式。
另外,根据安全策略结果,对用户请求进行响应,包括:在安全策略结果表征用户请求处于通行状态时,将用户请求转发到目标服务器,并将接收到的目标服务器返回的响应内容作为用户请求的响应;在安全策略结果表征用户请求处于拦截状态时,将预设的拦截页面作为用户请求的响应。本实施方式提供了一种根据安全策略结果,对用户请求进行响应的一种具体实现方式。
另外,将接收到的目标服务器返回的响应内容作为用户请求的响应,包括:在接收到目标服务器返回的响应内容时,对响应内容进行安全检测,得到安全检测结果;在安全检测结果表征响应内容为正常状态时,将响应内容为用户请求的响应;在安全检测结果表征响应内容为异常状态时,将预设的拦截页面作为用户请求的响应。本实施方式中,利用业务模块对响应内容的安全检测,即业务模块无需通过安全防护模块便能够直接进行响应内容的安全检测,减少了响应内容的转发操作,简化了安全检测流程。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是根据本发明第一实施方式中的请求处理方法应用的安全防护系统的方框示意图;
图2是根据本发明第一实施方式中的请求处理方法的具体流程图;
图3是图4中步骤103的具体流程图;
图4是根据本发明第一实施方式中的服务器、客户端以及目标服务器之间的交互时序图;
图5是根据本发明第二实施方式中的请求处理方法的具体流程图;
图6是根据本发明第二实施方式中的服务器、客户端以及目标服务器之间的交互时序图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。
本发明的第一实施方式涉及一种请求处理方法,请参考图1,应用于安全防护系统中的业务模块1,安全防护系统还包括连接于业务模块1的安全防护模块2。本实施例中,业务模块1用于为用户提供加速、缓存等服务,可以为安装在服务器中业务系统软件;安全防护模块2用于为用户提供安全防护服务,可以为安装在服务器中WAF系统软件。其中,业务模块1与安全防护模块2可以均为基于nginx的模块,即业务系统软件与WAF系统软件均为基于nginx的软件。
本实施方式的请求处理方法的具体流程如图1所示。
步骤101,在接收到的用户请求需要安全检测时,对用户请求进行复制,并将复制的用户请求发送到安全防护模块。
具体而言,业务模块1所在的服务器的内存中预先加载有各域名的配置信息,配置信息包括各域名是否需要安全检测的设置,业务模块1接收到用户通过客户端3发送的目标域名的用户请求时,可以读取该目标域名的配置信息,并能够根据该目标域名的配置信息,来判断用户请求是否需要安全检测。
当目标域名的配置信息表征该域名处于监控状态时,判定该用户请求需要进行安全检测,此时业务模块1将原始的用户请求缓存,并对原始的用户请求进行复制,然后将复制的用户请求发送到安全防护模块2,由安全防护模块2对用户请求进行安全过滤。
当目标域名的配置信息表征该域名处于拦截状态时,则可以直接响应预设的拦截页面到客户端3。
当目标域名的配置信息表征该域名处于正常状态时,判定该用户请求不需要进行安全检测,此时将用户请求发送到目标服务器4,并将接收到的目标服务器4返回的响应内容转发到客户端3,其中目标服务器可以为业务模块1所在服务器的父节点或目标域名的源站。
步骤102,接收安全防护模块返回的对用户请求进行安全过滤后得到的安全策略结果。
具体而言,安全防护模块2作为WAF系统,在接收到业务模块1发送的用户请求时,对该用户请求进行安全过滤,检测方式包括URL的正则匹配、请求头的检验等等,从而能够检测出用户请求中是否存在SQL注入、XSS攻击、WEBSHELL攻击等等,并生成相应的安全策略结果,并将该安全策略结果返回到业务模块1。其中,安全策略结果可以表征用户请求处于通行状态或者是拦截状态,通行状态表示该用户请求中未包含攻击内容、拦截状态表示该用户请求中包含攻击内容,通行状态的安全策略结果中还可以包括重定向、限速等辅助策略;安全防护模块2可以在安全策略结果表征用户请求处于拦截状态时,生成攻击记录日志,该日志中包含完整的用户请求包、用户请求时间、请求IP、命中规则ID、攻击类型、规则库匹配到的攻击内容等信息,以便于后续对受到的攻击进行分析防范。
步骤103,根据安全策略结果,对用户请求进行响应。
请参考图3,步骤103包括以下子步骤:
子步骤1031,在安全策略结果表征用户请求处于通行状态时,将用户请求转发到目标服务器,并将接收到的目标服务器返回的响应内容作为用户请求的响应。
子步骤1032,在安全策略结果表征用户请求处于拦截状态时,将预设的拦截页面作为用户请求的响应。
具体而言,业务模块1在安全策略结果表征用户请求处于通行状态时,继续进行加速、缓存业务流程,将用户请求发送到目标服务器4,并将接收到的目标服务器4返回的响应内容作为用户请求的响应,即将该响应内容转发给客户端3;业务模块1在安全策略结果表征用户请求处于拦截状态时,将预设的拦截页面作为用户请求的响应,即将该拦截页面发送到客户端3,其中拦截页面上还可以包括http状态码403。
本实施例中,若业务模块1为基于nginx的模块,则业务模快1可以利用nginx所提供的upstream机制来实现与第三方服务器交互,upstream机制能够保证业务模块1与第三方服务器交互时,不阻塞nginx进程处理其他用户请求,保持了nginx的高性能。本实施例中,业务模块1在安全防护模块2返回的安全策略结果表征用户请求为通行状态时,利用upstream机制访问目标服务器4,然后基于目标服务器4返回的响应内容返回给客户端3。
在一个例子中,业务模块1与安全防护模块2可以部署在一个融合服务器中,即安全防护系统部署在一个融合服务器上,以业务模块1为安装在该融合服务器上的nginx业务系统软件、安全防护模块2安装在该融合服务器上的nginx的WAF系统软件为例,融合服务器在利用业务系统软件提供基础的业务服务时,将WAF系统软件作为业务系统软件的子服务。其中,由业务系统软件来判断用户请求是否需要进行安全检测,WAF系统软件仅用于提供安全过滤服务,从而仅需加载一份各域名的配置信息到服务器的内存中,WAF系统软件则无需加载各域名的配置信息到服务器的内存中,减少了对服务器内存的消耗,减小了部署在同一服务器中的WAF系统软件与业务系统软件之间的相互影响。
在融合服务器中,将安全防护模块2作为业务模块1的子服务,来提供安全防护功能;并且安全防护模块2仅用于进行安全过滤,减小了安全防护模块2对融合服务器内存的消耗,降低了安全防护模块2与业务模块1之间的相互影响,使得同一服务器能够同时提供多种服务。
请参考图4,为服务器与客户端3以及目标服务器4之间的交互时序图,本实施例中,用户通过客户端3向业务系统软件发起请求,将用户请求发送到业务系统软件,业务系统软件在接收到用户请求后读取用户请求中包含的目标域名的配置信息,并根据该配置信息,判断用户请求是否需要进行安全检测。若配置信息表征用户请求处于正常状态,则判定用户请求不需要进行安全检测,将用户请求转发到目标服务器4,目标服务器4获取用户请求对应的响应内容,并将该响应内容发送到业务系统软件,业务系统软件则将该响应内容发送给客户端3;若配置信息表征用户请求处于监控状态,则判定用户请求需要进行安全检测,将复制的用户请求发送到WAF系统软件,WAF系统软件则对该用户请求进行安全过滤,得到安全策略结果,并将该安全策略结果发送到业务系统软件。
业务系统软件在该安全策略结果表征用户请求处于通行状态时,将该用户请求转发给目标服务器4,目标服务器4获取用户请求对应的响应内容,并将该响应内容发送到业务系统软件,业务系统软件则将该响应内容发送给客户端3;业务系统软件在该安全策略结果表征用户请求处于拦截状态时,将预设的拦截页面作为用户请求的响应发送到客户端3。
本实施方式相对于现有技术而言,业务模块能够在接收到的用户请求需要安全检测时,对用户请求进行复制,并将复制的用户请求发送到安全防护模块,安全防护模块则能够对用户请求进行安全过滤,并将得到的安全策略结果发送到业务模块,从而业务模块可以根据安全策略结果,对用户请求进行响应,即安全防护模块以旁路的方式提供安全防护服务,业务模块在执行自身业务时可以按需调用安全防护模块进行安全防护,提高了业务模块的利用率;同时,实现了安全防护服务与其他业务叠加,安全防护模块可以灵活部署。
本发明的第二实施方式涉及一种请求处理方法,本实施方式相对于第一实施方式来说,主要区别之处在于:增加了对响应内容的安全检测。
本实施方式的请求处理方法的具体流程如图5所示。
其中,步骤201、步骤202与步骤101、步骤102大致相同,在此不再赘述,主要不同之处在于,步骤203包括:
子步骤2031,在安全策略结果表征用户请求处于通行状态时,将用户请求转发到目标服务器,并对接收到的目标服务器返回的响应内容进行安全检测,得到安全检测结果。
具体而言,可以在业务模块1中部署有基于nginx动态模块机制的waflib库,业务模块1可以调用该waflib库对响应内容进行安全检测;请参考图6的服务器与客户端3以及目标服务器4之间的交互时序图,业务模块1在安全策略结果表征用户请求处于通行状态时,将该用户请求发送到目标服务器4,在接收目标服务器4返回的响应内容后,调用wiflib库对该响应内容进行安全检测,得到安全检测结果,安全检测结果表征响应内容为正常状态或异常状态。其中,安全检测内容包括:响应内容响应头以及响应体的增删改操作、web服务器响应错误信息(如服务器的版本等信息)、数据库名称等敏感信息、web程序异常抛出的敏感信息等。
子步骤2032,在安全检测结果表征响应内容为正常状态时,将响应内容为用户请求的响应。
子步骤2033,在安全检测结果表征响应内容为异常状态时,将预设的拦截页面作为用户请求的响应。
具体而言,业务模块1在安全检测结果表征响应内容为正常状态时,将该响应内容作为用户请求的响应,即将该响应内容发送到客户端3;在安全检测结果表征响应内容为异常状态时,业务模块1则将预设的拦截页面发送到客户端3,并记录该响应内容的检测日志。
子步骤2034,在安全策略结果表征用户请求处于拦截状态时,将预设的拦截页面作为用户请求的响应。
本实施方式相对于第一实施方式而言,业务模块还可以对响应内容进行安全检测,即无需通过安全防护模块便能够直接进行响应内容的安全检测,减少了响应内容的转发操作,简化了安全检测流程。
本发明第三实施方式涉及一种安全防护系统,如图1所示,安全防护系统包括相互连接的业务模块1与安全防护模块2,业务模块1用于为用户提供加速、缓存等服务,为业务系统软件;安全防护模块2用于为用户提供安全防护服务,例如为WAF系统软件。安全防护系统可以为CDN网络中边缘节点集群、或者单个边缘节点,若安全防护系统可以为CDN网络中单个边缘节点,则说明业务模块1与安全防护模块2部署在同一个服务器(本实施例以及之后的实施例中均以此为例)中,该服务器融合了加速、缓存等服务以及安全防护服务,即业务系统软件与WAF软件融合后部署在同一个服务器中,可以同时为用户提供多种服务,该服务器可以称为融合服务器,在融合服务器中,将安全防护模块2作为业务模块1的子服务,来提供安全防护功能;并且安全防护模块仅用于进行安全过滤,减小了安全防护模块对服务器内存的消耗,降低了安全防护模块2与业务模块1之间的相互影响。其中,业务模块1与安全防护模块2可以均为基于nginx的模块,即业务系统软件与WAF系统软件均为基于nginx的软件。
业务模块1用于在接收到的用户请求需要安全检测时,对用户请求进行复制,并将复制的用户请求发送到安全防护模块2。
具体的,融合服务器的内存中预先加载有各域名的配置信息,配置信息包括各域名是否需要安全检测的设置,业务模块1接收到用户通过客户端3发送的目标域名的用户请求时,可以读取该目标域名的配置信息,并能够根据该目标域名的配置信息,来判断用户请求是否需要安全检测。
当目标域名的配置信息表征该域名处于监控状态时,判定该用户请求需要进行安全检测,此时业务模块1将原始的用户请求缓存,并对原始的用户请求进行复制,然后将复制的用户请求发送到安全防护模块2,由安全防护模块2对用户请求进行安全过滤。
当目标域名的配置信息表征该域名处于拦截状态时,则可以直接响应预设的拦截页面到客户端3。
当目标域名的配置信息表征该域名处于正常状态时,判定该用户请求不需要进行安全检测,此时将用户请求发送到目标服务器4,并将接收到的目标服务器4返回的响应内容转发到客户端3,其中目标服务器可以为业务模块1所在服务器的父节点或目标域名的源站。
安全防护模块2用于对用户请求进行安全过滤,并将得到的安全策略结果发送到业务模块。具体的,安全防护模块2作为WAF系统,在接收到业务模块1发送的用户请求时,对该用户请求进行安全过滤,检测方式包括URL的正则匹配、请求头的检验等等,从而能够检测出用户请求中是否存在SQL注入、XSS攻击、WEBSHELL攻击等等,并生成相应的安全策略结果,并将该安全策略结果返回到业务模块1。其中,安全策略结果可以表征用户请求处于通行状态或者是拦截状态,通行状态表示该用户请求中未包含攻击内容、拦截状态表示该用户请求中包含攻击内容,通行状态的安全策略结果中还可以包括重定向、限速等辅助策略;安全防护模块2可以在安全策略结果表征用户请求处于拦截状态时,生成攻击记录日志,该日志中包含完整的用户请求包、用户请求时间、请求IP、命中规则ID、攻击类型、规则库匹配到的攻击内容等信息,以便于后续对受到的攻击进行分析防范。
业务模块1还用于根据安全策略结果,对用户请求进行响应。具体的,业务模块1在安全策略结果表征用户请求处于通行状态时,继续进行加速、缓存业务流程,将用户请求发送到目标服务器4,并将接收到的目标服务器4返回的响应内容作为用户请求的响应,即将该响应内容转发给客户端3;业务模块1在安全策略结果表征用户请求处于拦截状态时,将预设的拦截页面作为用户请求的响应,即将该拦截页面发送到客户端3,其中拦截页面上还可以包括http状态码403。
本实施例中,若业务模块1为基于nginx的模块,则业务模快1可以利用nginx所提供的upstream机制来实现与第三方服务器交互,upstream机制能够保证业务模块1与第三方服务器交互时,不阻塞nginx进程处理其他用户请求,保持了nginx的高性能。本实施例中,业务模块1在安全防护模块2返回的安全策略结果表征用户请求为通行状态时,利用upstream机制访问目标服务器4,然后基于目标服务器4返回的响应内容返回给客户端3。
在一个例子中,业务模块1与安全防护模块2可以部署在一个融合服务器中,即安全防护系统部署在一个融合服务器上,以业务模块1为安装在该融合服务器上的nginx业务系统软件、安全防护模块2安装在该融合服务器上的nginx的WAF系统软件为例,融合服务器在利用业务系统软件提供基础的业务服务时,将WAF系统软件作为业务系统软件的子服务。其中,由业务系统软件来判断用户请求是否需要进行安全检测,WAF系统软件仅用于提供安全过滤服务,从而仅需加载一份各域名的配置信息到服务器的内存中,WAF系统软件则无需加载各域名的配置信息到服务器的内存中,减少了对服务器内存的消耗,减小了部署在同一服务器中的WAF系统软件与业务系统软件之间的相互影响。
在融合服务器中,将安全防护模块2作为业务模块1的子服务,来提供安全防护功能;并且安全防护模块2仅用于进行安全过滤,减小了安全防护模块2对融合服务器内存的消耗,降低了安全防护模块2与业务模块1之间的相互影响,使得同一服务器能够同时提供多种服务。
请参考图4,为服务器与客户端3以及目标服务器4之间的交互时序图,本实施例中,用户通过客户端3向业务系统软件发起请求,将用户请求发送到业务系统软件,业务系统软件在接收到用户请求后读取用户请求中包含的目标域名的配置信息,并根据该配置信息,判断用户请求是否需要进行安全检测。若配置信息表征用户请求处于正常状态,则判定用户请求不需要进行安全检测,将用户请求转发到目标服务器4,目标服务器4获取用户请求对应的响应内容,并将该响应内容发送到业务系统软件,业务系统软件则将该响应内容发送给客户端3;若配置信息表征用户请求处于监控状态,则判定用户请求需要进行安全检测,将复制的用户请求发送到WAF系统软件,WAF系统软件则对该用户请求进行安全过滤,得到安全策略结果,并将该安全策略结果发送到业务系统软件。
业务系统软件在该安全策略结果表征用户请求处于通行状态时,将该用户请求转发给目标服务器4,目标服务器4获取用户请求对应的响应内容,并将该响应内容发送到业务系统软件,业务系统软件则将该响应内容发送给客户端3;业务系统软件在该安全策略结果表征用户请求处于拦截状态时,将预设的拦截页面作为用户请求的响应发送到客户端3。
由于第一实施例与本实施例相互对应,因此本实施例可与第一实施例互相配合实施。第一实施例中提到的相关技术细节在本实施例中依然有效,在第一实施例中所能达到的技术效果在本实施例中也同样可以实现,为了减少重复,这里不再赘述。相应地,本实施例中提到的相关技术细节也可应用在第一实施例中。
本实施方式相对于现有技术而言,业务模块能够在接收到的用户请求需要安全检测时,对用户请求进行复制,并将复制的用户请求发送到安全防护模块,安全防护模块则能够对用户请求进行安全过滤,并将得到的安全策略结果发送到业务模块,从而业务模块可以根据安全策略结果,对用户请求进行响应,即安全防护模块以旁路的方式提供安全防护服务,业务模块在执行自身业务时可以按需调用安全防护模块进行安全防护,提高了业务模块的利用率;同时,实现了安全防护服务与其他业务叠加,安全防护模块可以灵活部署。
本发明的第四实施方式涉及一种服务器,本实施方式相对于第三实施方式来说,主要区别之处在于:请参考图1和图6,在业务模块1中增加了对响应内容的安全检测。
业务模块1还用于在接收到目标服务器4返回的响应内容时,对响应内容进行安全检测,得到安全检测结果。
本实施例中,可以在业务模块1中部署有基于nginx动态模块机制的waflib库,业务模块1可以调用该waflib库对响应内容进行安全检测。
业务模块1还用于在安全检测结果表征响应内容为正常状态时,将响应内容作为用户请求的响应。
业务模块1还用于在安全检测结果表征响应内容为异常状态时,将预设的拦截页面作为用户请求的响应。
具体的,业务模块1在安全策略结果表征用户请求处于通行状态时,将该用户请求发送到目标服务器4,在接收目标服务器4返回的响应内容后,调用wiflib库对该响应内容进行安全检测,得到安全检测结果,安全检测结果表征响应内容为正常状态或异常状态。其中,安全检测内容包括:响应内容响应头以及响应体的增删改操作、web服务器响应错误信息(如服务器的版本等信息)、数据库名称等敏感信息、web程序异常抛出的敏感信息等。
业务模块1在安全检测结果表征响应内容为正常状态时,将该响应内容作为用户请求的响应,即将该响应内容发送到客户端3;在安全检测结果表征响应内容为异常状态时,业务模块1则将预设的拦截页面发送到客户端3,并记录该响应内容的检测日志。
由于第二实施例与本实施例相互对应,因此本实施例可与第二实施例互相配合实施。第二实施例中提到的相关技术细节在本实施例中依然有效,在第二实施例中所能达到的技术效果在本实施例中也同样可以实现,为了减少重复,这里不再赘述。相应地,本实施例中提到的相关技术细节也可应用在第二实施例中。
本实施方式相对于第三实施方式而言,利用业务模块对响应内容的安全检测,即业务模块无需通过安全防护模块便能够直接进行响应内容的安全检测,减少了响应内容的转发操作,简化了安全检测流程。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。

Claims (10)

1.一种请求处理方法,其特征在于,应用于安全防护系统的业务模块,所述安全防护系统还包括连接于所述业务模块的安全防护模块;所述方法包括:
在接收到的用户请求需要安全检测时,对所述用户请求进行复制,并将复制的所述用户请求发送到所述安全防护模块;
接收所述安全防护模块返回的对所述用户请求进行安全过滤后得到的安全策略结果;
根据所述安全策略结果,对所述用户请求进行响应。
2.根据权利要求1所述的请求处理方法,其特征在于,判断所述用户请求是否需要安全检测的方式为:
在接收到所述用户请求时,获取所述用户请求包含的目标域名的配置信息;
根据所述目标域名的配置信息,判断所述用户请求是否需要安全检测。
3.根据权利要求1所述的请求处理方法,其特征在于,所述根据所述安全策略结果,对所述用户请求进行响应,包括:
在所述安全策略结果表征所述用户请求处于通行状态时,将所述用户请求转发到目标服务器,并将接收到的所述目标服务器返回的响应内容作为所述用户请求的响应;
在所述安全策略结果表征所述用户请求处于拦截状态时,将预设的拦截页面作为所述用户请求的响应。
4.根据权利要求3所述的请求处理方法,其特征在于,所述将接收到的所述目标服务器返回的响应内容作为所述用户请求的响应,包括:
在接收到所述目标服务器返回的响应内容时,对所述响应内容进行安全检测,得到安全检测结果;
在所述安全检测结果表征所述响应内容为正常状态时,将所述响应内容为所述用户请求的响应;
在所述安全检测结果表征所述响应内容为异常状态时,将预设的拦截页面作为所述用户请求的响应。
5.一种安全防护系统,其特征在于,包括:相互连接的业务模块与安全防护模块;
所述业务模块用于在接收到的用户请求需要安全检测时,对所述用户请求进行复制,并将复制的所述用户请求发送到所述安全防护模块;
所述安全防护模块用于对所述用户请求进行安全过滤,并将得到的安全策略结果发送到所述业务模块;
所述业务模块还用于根据所述安全策略结果,对所述用户请求进行响应。
6.根据权利要求5所述的安全防护系统,其特征在于,
所述业务模块用于在接收到所述用户请求时,获取所述用户请求包含的目标域名的配置信息;
所述业务模块用于根据所述目标域名的配置信息,判断所述用户请求是否需要安全检测。
7.根据权利要求5所述的安全防护系统,其特征在于,
所述业务模块用于在所述安全策略结果表征所述用户请求处于通行状态时,将所述用户请求转发到目标服务器,并将接收到的所述目标服务器返回的响应内容作为所述用户请求的响应;
所述业务模块用于在所述安全策略结果表征所述用户请求处于拦截状态时,将预设的拦截页面作为所述用户请求的响应。
8.根据权利要求7所述的安全防护系统,其特征在于,所述业务模块中部署有安全组件;
所述业务模块还用于在接收到所述目标服务器返回的响应内容时,对所述响应内容进行安全检测,得到安全检测结果;
所述业务模块还用于在所述安全检测结果表征所述响应内容为正常状态时,将所述响应内容为所述用户请求的响应;
所述业务模块还用于在所述安全检测结果表征所述响应内容为异常状态时,将预设的拦截页面作为所述用户请求的响应。
9.根据权利要求5所述的安全防护系统,其特征在于,所述业务模块与所述安全防护模块均为基于nginx的模块。
10.根据权利要求5所述的安全防护系统,其特征在于,所述业务模块与所述安全防护模块部署在同一服务器中。
CN202010723764.9A 2020-07-24 2020-07-24 请求处理方法与安全防护系统 Pending CN112039845A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010723764.9A CN112039845A (zh) 2020-07-24 2020-07-24 请求处理方法与安全防护系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010723764.9A CN112039845A (zh) 2020-07-24 2020-07-24 请求处理方法与安全防护系统

Publications (1)

Publication Number Publication Date
CN112039845A true CN112039845A (zh) 2020-12-04

Family

ID=73583120

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010723764.9A Pending CN112039845A (zh) 2020-07-24 2020-07-24 请求处理方法与安全防护系统

Country Status (1)

Country Link
CN (1) CN112039845A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112788044A (zh) * 2021-01-20 2021-05-11 苏州浪潮智能科技有限公司 一种分布式集群的旁路检测方法、装置及设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101902456A (zh) * 2010-02-09 2010-12-01 北京启明星辰信息技术股份有限公司 一种Web网站安全防御系统
US20120137363A1 (en) * 2010-11-30 2012-05-31 Ibm Corporation Method and Device for Preventing CSRF Attack
CN103561036A (zh) * 2013-11-12 2014-02-05 深信服网络科技(深圳)有限公司 白名单上网环境下的请求拦截方法及装置
CN104394163A (zh) * 2014-12-05 2015-03-04 浪潮电子信息产业股份有限公司 一种基于Web应用的安全检测方法
CN109067772A (zh) * 2018-09-10 2018-12-21 四川中电启明星信息技术有限公司 一种用于安全防护的组件和安全防护方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101902456A (zh) * 2010-02-09 2010-12-01 北京启明星辰信息技术股份有限公司 一种Web网站安全防御系统
US20120137363A1 (en) * 2010-11-30 2012-05-31 Ibm Corporation Method and Device for Preventing CSRF Attack
CN103561036A (zh) * 2013-11-12 2014-02-05 深信服网络科技(深圳)有限公司 白名单上网环境下的请求拦截方法及装置
CN104394163A (zh) * 2014-12-05 2015-03-04 浪潮电子信息产业股份有限公司 一种基于Web应用的安全检测方法
CN109067772A (zh) * 2018-09-10 2018-12-21 四川中电启明星信息技术有限公司 一种用于安全防护的组件和安全防护方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112788044A (zh) * 2021-01-20 2021-05-11 苏州浪潮智能科技有限公司 一种分布式集群的旁路检测方法、装置及设备

Similar Documents

Publication Publication Date Title
US10257224B2 (en) Method and apparatus for providing forensic visibility into systems and networks
US8413238B1 (en) Monitoring darknet access to identify malicious activity
US8185510B2 (en) Distributed security provisioning
US8028326B2 (en) Federating trust in a heterogeneous network
US8365259B2 (en) Security message processing
US8055767B1 (en) Proxy communication string data
US8656478B1 (en) String based detection of proxy communications
CN111988280A (zh) 服务器与请求处理方法
KR20230004222A (ko) Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법
CN109361574B (zh) 基于JavaScript脚本的NAT检测方法、系统、介质和设备
US8763120B1 (en) Exploitation detection
US8230506B1 (en) Proxy communication detection
CN112039845A (zh) 请求处理方法与安全防护系统
CN114785621B (zh) 漏洞检测方法、装置、电子设备及计算机可读存储介质
CN113098727A (zh) 一种数据包检测处理方法与设备
CN112039846B (zh) 请求处理方法与安全防护系统
US8793488B1 (en) Detection of embedded resource location data
CN115913583A (zh) 业务数据访问方法、装置和设备及计算机存储介质
CN113810366A (zh) 一种网站上传文件安全识别系统及方法
CN115623485B (zh) 一种短信轰炸检测方法、系统、服务器及存储介质
CN114697380B (zh) 访问请求的重定向方法、系统、装置以及存储介质
CN114861188A (zh) 执行对象的切换方法及装置、终端、服务端、系统
CN117389678A (zh) 一种有效拦截容器编排系统应用部署的方法及系统
CN117675336A (zh) 文件扫描方法及装置
CN116633573A (zh) 操作对象的运行方法及装置、网关设备、服务端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20201204

RJ01 Rejection of invention patent application after publication