CN112351012A - 一种网络安全防护方法、装置及系统 - Google Patents

Abstract

本申请公开了一种网络安全防护方法，能够将客户端的业务流量通过DNS引流至DDoS设备；利用DDoS设备对业务流量进行流量清洗，并将清洗后的业务流量传输至云WAF设备；最终利用云WAF设备对清洗后的业务流量进行异常检测，将通过异常检测的业务流量传输至服务端，并拒绝未通过异常检测的业务流量。可见，该方法在网络中同时部署DDoS设备和云WAF设备，其中DDoS设备支持4层和7层抗DDoS功能，能够实现大流量DDoS清洗，云WAF设备支持web应用层防护，保证应用层免受攻击，二者相互配合，显著提升网络整体安全性。此外，本申请还提供了一种网络安全防护装置及系统，其技术效果与上述方法的技术效果相对应。

Description

一种网络安全防护方法、装置及系统

技术领域

本申请涉及网络安全技术领域，特别涉及一种网络安全防护方法、装置及系统。

背景技术

DDoS全称Distributed Denial of Service，就是利用大量合法的分布式服务器对目标发送请求，从而导致正常用户无法获得服务。具体的，DDoS就是利用处于不同位置的网络节点资源(如IDC服务器、个人PC、手机、智能设备、打印机、摄像头等)同时对目标发起大量攻击请求，或者一个攻击者控制位于不同位置的网络节点资源并利用这些网络节点资源同时对目标实施攻击，从而导致目标服务器拥塞而无法对外提供正常服务。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。

不同于其他恶意篡改数据或劫持类攻击，DDoS简单粗暴，可以达到直接摧毁目标的目的。另外，相对其他攻击手段DDoS的技术要求和发动攻击的成本很低，只需要购买部分服务器权限或控制一批“肉鸡”即可，而且攻击相应速度很快，攻击效果可视。DDoS可以侵蚀带宽或资源，迫使服务中断。

web攻击是指针对Web系统的攻击行为。随着网络技术的发展，针对Web系统的攻击技术层出不穷，导致Web系统遭受攻击事件越来越多。根据相关统计，计算机系统中绝大多数的数泄露事件是由Web攻击导致的，由此可见Web系统的安全防护十分必要。

综上，如何防御DDoS攻击和web攻击，是亟待本领域技术人员解决的问题。

发明内容

本申请的目的是提供一种网络安全防护方法、装置及系统，用以解决DDoS攻击和web攻击导致的网络安全的问题。其具体方案如下：

第一方面，本申请提供了一种网络安全防护方法，包括：

将客户端的业务流量通过DNS引流至DDoS设备；

利用所述DDoS设备对所述业务流量进行流量清洗，并将清洗后的业务流量传输至云WAF设备；

利用所述云WAF设备对所述清洗后的业务流量进行异常检测；将通过异常检测的业务流量传输至服务端，并拒绝未通过异常检测的业务流量。

优选的，所述对所述业务流量进行流量清洗，包括：

检测所述业务流量中是否存在目标攻击类型的报文，若存在，则丢弃，其中所述目标攻击类型包括以下任意一项或多项：SYN Flood、ACK Flood、SYN-ACK Flood、FIN Flood、RST Flood、TCP异常报文攻击、连接耗尽攻击、UDP Flood。

优选的，所述对所述业务流量进行流量清洗，包括：

根据访问控制策略，对所述业务流量进行过滤，其中所述访问控制策略包括以下任意一项或多项：ACL访问控制、地域访问控制、黑名单机制、带宽限制、总连接数限制、连接速率限制。

优选的，所述利用所述DDoS设备对所述业务流量进行流量清洗，包括：

利用所述DDoS设备将所述业务流量发送至高防IP节点，利用所述高防IP节点对所述业务流量进行流量清洗。

优选的，在所述利用所述DDoS设备对所述业务流量进行流量清洗之前，还包括：

将saas中心的安全防护配置下发至DDoS设备。

优选的，在所述将saas中心的安全防护配置下发至DDoS设备之后，还包括：

对安全防护配置进行分类；

在DDoS设备一侧，采用后端进程实时监听saas中心的数据库句柄；若所述数据库句柄发生变化，则确定所述安全防护配置中发生变化的类，并将所述发生变化的类同步至本地。

优选的，所述利用所述云WAF设备对所述清洗后的业务流量进行异常检测，包括：

在所述云WAF设备一侧，采用目标防护方式检测所述清洗后的业务流量中是否存在扫描类攻击，其中所述目标防护方式包括以下任意一项或多项：服务器的连接限速、7层域名的黑白名单限制、机器学习方式。

第二方面，本申请提供了一种网络安全防护装置，包括：

引流模块：用于将客户端的业务流量通过DNS引流至DDoS设备；

流量清洗模块：用于利用所述DDoS设备对所述业务流量进行流量清洗，并将清洗后的业务流量传输至云WAF设备；

应用防护模块：用于利用所述云WAF设备对所述清洗后的业务流量进行异常检测；将通过异常检测的业务流量传输至服务端，并拒绝未通过异常检测的业务流量。

第三方面，本申请提供了一种网络安全防护系统，包括：DDoS设备和云WAF设备；

其中，客户端的业务流量通过DNS引流至DDoS设备；所述DDoS设备对所述业务流量进行流量清洗，并将清洗后的业务流量传输至云WAF设备；所述云WAF设备对所述清洗后的业务流量进行异常检测，将通过异常检测的业务流量传输至服务端，并拒绝未通过异常检测的业务流量。

本申请所提供的一种网络安全防护方法，包括：将客户端的业务流量通过DNS引流至DDoS设备；利用DDoS设备对业务流量进行流量清洗，并将清洗后的业务流量传输至云WAF设备；利用云WAF设备对清洗后的业务流量进行异常检测；将通过异常检测的业务流量传输至服务端，并拒绝未通过异常检测的业务流量。

可见，该方法在网络中同时部署DDoS设备和云WAF设备，其中DDoS设备支持4层和7层抗DDoS功能，能够实现大流量DDoS清洗，云WAF设备支持web应用层防护，保证应用层免受攻击，二者相互配合，显著提升网络整体安全性。

此外，本申请还提供了一种网络安全防护装置及系统，其技术效果与上述方法的技术效果相对应，这里不再赘述。

附图说明

为了更清楚的说明本申请实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请所提供的一种网络安全防护方法实施例一的实现流程图；

图2为本申请所提供的一种网络安全防护方法实施例二的整体网络拓扑图；

图3为本申请所提供的一种网络安全防护方法实施例二的sass中心配置下发过程；

图4为本申请所提供的一种网络安全防护方法实施例二的WAF设备拓扑图；

图5为本申请所提供的一种网络安全防护装置实施例的功能框图。

具体实施方式

本申请的核心是提供一种网络安全防护方法、装置及系统，在网络中同时部署DDoS设备和云WAF设备，利用DDoS设备实现大流量DDoS清洗，云WAF设备实现web应用层防护，二者相互配合，显著提升网络整体安全性。

为了使本技术领域的人员更好地理解本申请方案，下面结合附图和具体实施方式对本申请作进一步的详细说明。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

下面对本申请提供的一种网络安全防护方法实施例一进行介绍，参见图1，实施例一包括：

S101、将客户端的业务流量通过DNS引流至DDoS设备；

S102、利用所述DDoS设备对所述业务流量进行流量清洗，并将清洗后的业务流量传输至云WAF设备；

S103、利用所述云WAF设备对所述清洗后的业务流量进行异常检测；将通过异常检测的业务流量传输至服务端，并拒绝未通过异常检测的业务流量。

上述业务流量是指客户端向服务端发送的访问请求。DNS全称Domain NameSystem，是指域名系统。DDoS全称Distributed Denial of Service，即分布式拒绝服务，其原理是将多个计算机联合起来作为攻击平台，用虚假的访问来耗光攻击目标的全部服务器资源，导致服务系统瘫痪而正常用户无法访问的情况。

流量清洗技术，是一种应对及防御DDoS攻击的网络安全技术。基于流量清洗技术，可以对业务流量中含有的DDoS攻击流量进行拦截，将正常业务流量传输至下一节点。

WAF是Web应用防火墙(Web Application Firewall)的简称，用于通过执行一系列针对HTTP/HTTPS的安全策略，来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，为Web应用提供防护，也称作应用防火墙，是网络安全纵深防御体系里重要的一环。WAF属于检测型及纠正型防御控制。

基于上述DDoS设备和WAF设备，本实施例能够实现4层(传输层，Transport Layer)和7层(应用层，Application Layer)的安全防护。具体的，本实施例在网络中部署抗4层DDoS设备和云WAF设备，把云WAF设备的源IP设置为DDoS设备的服务IP，通过DNS将客户端的业务流量引流到DDoS设备，利用DDoS设备对业务流量进行流量清洗，并将正常的业务流量传输至云WAF设备，云WAF设备继续进行应用层的安全防护。由于把云WAF设备的源IP设置为DDoS设备的服务IP，支持4层/7层抗DDoS功能，云WAF设备支持web应用层防护，因此本实施例支持百G以上大流量DDoS清洗以及web应用层安全的防护，保护网络和应用免受攻击。

流量清洗过程具体可以包括对各种攻击报文的检测过程，此时，上述对所述业务流量进行流量清洗的过程，具体可以为：检测所述业务流量中是否存在目标攻击类型的报文，若存在，则丢弃，其中所述目标攻击类型包括以下任意一项或多项：SYN Flood、ACKFlood、SYN-ACK Flood、FIN Flood、RST Flood、TCP异常报文攻击、连接耗尽攻击、UDPFlood。

流量清洗过程还可以包括基于某种策略对客户端访问进行限制的过程，此时，上述对所述业务流量进行流量清洗的过程，具体可以为：根据访问控制策略，对所述业务流量进行过滤，其中所述访问控制策略包括以下任意一项或多项：ACL访问控制、地域访问控制、黑名单机制、带宽限制、总连接数限制、连接速率限制。

目前，一般采用netflow引流的方式，通过旁路根据阈值识别到攻击的流量，并引流到DDoS设备进行清洗。但是，这种引流方式存在以下弊端：对于高性能大流量的场景下，源站可能短时间内已经被攻击到宕机，短暂的防护失效导致抗DDoS功能失效，无法对恶意流量进行清洗。针对该问题，本实施例采用DNS引流，进行实时DDoS防护和云WAF防护，避免源站短时间内被攻击到宕机。

在此基础上，本实施例还可以在DDoS设备设置高防IP，实现动态流量的引流。高防IP是指高防御机房提供的IP段，用户可以配置高防IP，将攻击流量转移到高防IP上，恶意攻击流量将在高防IP节点上进行清理和过滤，以保证源站稳定可靠。

在设置高防IP的情况下，上述利用所述DDoS设备对所述业务流量进行流量清洗的过程，具体可以为：利用所述DDoS设备将所述业务流量发送至高防IP节点，利用所述高防IP节点对所述业务流量进行流量清洗。

具体的，可以在web端对DDoS设备进行配置，具体的，在S102之前，还可以包括以下过程：将saas中心的安全防护配置下发至DDoS设备。配置的内容包括但不限于：高防IP，代理方式(正向代理或反向代理)，服务IP(本实施例将DDoS设备的服务IP设置为云WAF设备的源IP)。此外，前述流量清洗工作需要页基于一定的安全防护策略实现，还可以在web端对DDoS设备的安全防护策略进行配置。例如，在检测SYN Flood攻击时需要用到的SYN Flood阈值，在基于总连接数限制过滤访问时需要用到的总连接数阈值，在基于连接速率过滤访问时需要用到的连接速率阈值等。

值得一提的是，在防护DDoS中，如何实现配置下发且迅速生效是业界难题。目前的实现方案是web前端主动向DDoS设备下发配置文件，这种方法的缺点是无法实时更新数据，且随着用户的增加，配置的增大，会导致加载时间越来越慢，内存消耗越来越大，甚至最后导致配置不生效问题。

针对上述缺点，本实施例采用后端进程实时监听数据库句柄，当有相关配置数据变化时，实时进行加载到内存中；通过对配置数据进行分类，只加载变化的配置，对于不变的配置不进行重复加载，达到web前端下发的配置实时生效的目的。

具体的，在将saas中心的安全防护配置下发至DDoS设备之后，执行以下操作：对安全防护配置进行分类；在DDoS设备一侧，采用后端进程实时监听saas中心的数据库句柄；若所述数据库句柄发生变化，则确定所述安全防护配置中发生变化的类，并将所述发生变化的类同步至本地。

在实际应用中，上述利用所述云WAF设备对所述清洗后的业务流量进行异常检测的过程，具体为：在所述云WAF设备一侧，采用目标防护方式检测所述清洗后的业务流量中是否存在扫描类攻击，其中所述目标防护方式包括以下任意一项或多项：服务器的连接限速、7层域名的黑白名单限制、机器学习方式。

本实施例所提供一种网络安全防护方法，在网络中同时部署DDoS设备和云WAF设备，其中DDoS设备支持4层和7层抗DDoS功能，能够实现大流量DDoS清洗，云WAF设备支持web应用层防护，保证应用层免受攻击，二者相互配合，显著提升网络整体安全性。

下面开始详细介绍本申请提供的一种网络安全防护方法实施例二。

实施例二中，整体网络拓扑图如图2所示。

客户端的访问请求通过DNS引流到DDoS设备，在DDoS设备进行4层的流量清洗，包含SYN Flood、ACK Flood、SYN-ACK Flood、FIN Flood、RST Flood、TCP异常报文攻击、连接耗尽攻击、UDP Flood。DDoS设备通过自学习模式对防护的对象的流量进行分析，对异常流量进行及时的防护。

WAF设备通过执行一系列针对HTTP/HTTPS的安全策略，来专门对web应用提供保护。WAF初期基于规则防护，基于规则的防护可以提供各种web应用的安全规则，并实时为其更新，用户按照这些规则，可以对应用进行全方面的保护。云WAF同时支持防扫描，防CC功能，webshell上传防护，SQL注入，XML注入、XSS，具备页面挑战功能。同时支持攻击IP sass化展示，支持攻击溯源。支持多租户的展示。

DDoS流量清洗主要包括以下内容：

(1)通过4层反向代理，DDoS设备分别和客户端、源站建立连接，检查连接的合法性，对恶意的连接行为进行直接丢弃。

(2)对大流量攻击，通过ACL访问控制，地域访问控制，黑名单机制，带宽限制，连接数限制，进行有效防护。

(3)根据高防IP建立映射关系，对每个高防IP进行配置ACL访问控制，地域访问控制，黑名单机制，带宽限制，连接数限制，进行有效防护相关配置。

对于高防IP，提供以下两种应用场景：

应用场景一：客户只需要在修改在dns服务器的cname，就可以把客户的流量引流到高防节点IP上。

应用场景二：客户直接购买高防IP，直接将高防IP公布给用户，客户直接访问高防IP。通过高防节点的反向代理再访问源站IP。

sass中心配置下发过程如图3所示。通过sass中心下发防护配置，例如SYN Flood阈值，连接数阈值(简称CC)，每秒连接速率阈值(简称CPS)，高防IP，服务IP等，将这些下发到DDoS设备。每次DDoS设备重启时，会通过sass化平台导入数据中心进行数据重载，DDoS设备将识别到的攻击IP数据回传到sass中心，通过sass中心进行大数据分析，借助攻击IP库进行攻击溯源。

云WAF设备的拓扑结构如图4所示。DDoS设备单台具备100G带宽的流量，每台DDoS设备可以支持负载均衡数十台云WAF设备的流量防护，WAF设备作为DDoS设备的服务端，DDoS设备通过健康检查探测WAF设备是否存活，DDoS设备提供负载均衡把流量均匀的负载各WAF设备上。

云WAF设备提供以下防护功能：webshell上传，xss，sql注入，扫描攻击，恶意文件限制，恶意请求方法限制，区域访问控制，cc挑战攻击。此外，还可以通过nginx服务器的连接限速，7层域名的黑白名单限制，通过机器学习方式进行扫描类攻击防护，根据nginx的上传文件方式进行post体的防护。

可见，本实施例提供的一种网络安全防护方法，客户在web端向DDoS设备下发相关配置，例如高防IP、服务端IP、代理方式，DDoS设备清洗4层tcp攻击、udp攻击、7层CC攻击，然后通过WAF设备进行云安全相关防护。同时具备ACL访问，区域访问控制，动态攻击流量识别，攻击溯源。显著提升了网络安全性。

下面对本申请实施例提供的一种网络安全防护装置进行介绍，下文描述的网络安全防护装置与上文描述的网络安全防护方法可相互对应参照。

本实施例的网络安全防护装置，如图5所示，包括：

引流模块501：用于将客户端的业务流量通过DNS引流至DDoS设备；

流量清洗模块502：用于利用所述DDoS设备对所述业务流量进行流量清洗，并将清洗后的业务流量传输至云WAF设备；

应用防护模块503：用于利用所述云WAF设备对所述清洗后的业务流量进行异常检测；将通过异常检测的业务流量传输至服务端，并拒绝未通过异常检测的业务流量。

本实施例的网络安全防护装置用于实现前述的网络安全防护方法，因此该装置中的具体实施方式可见前文中的网络安全防护方法的实施例部分，例如，引流模块501、流量清洗模块502、应用防护模块503，分别用于实现上述网络安全防护方法中步骤S101，S102，S103。所以，其具体实施方式可以参照相应的各个部分实施例的描述，在此不再展开介绍。

另外，由于本实施例的网络安全防护装置用于实现前述的网络安全防护方法，因此其作用与上述方法的作用相对应，这里不再赘述。

此外，本申请还提供了一种网络安全防护系统，包括：DDoS设备和云WAF设备；

其中，客户端的业务流量通过DNS引流至DDoS设备；所述DDoS设备对所述业务流量进行流量清洗，并将清洗后的业务流量传输至云WAF设备；所述云WAF设备对所述清洗后的业务流量进行异常检测，将通过异常检测的业务流量传输至服务端，并拒绝未通过异常检测的业务流量。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上对本申请所提供的方案进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims (9)

1.一种网络安全防护方法，其特征在于，包括：

将客户端的业务流量通过DNS引流至DDoS设备；

利用所述DDoS设备对所述业务流量进行流量清洗，并将清洗后的业务流量传输至云WAF设备；

利用所述云WAF设备对所述清洗后的业务流量进行异常检测；将通过异常检测的业务流量传输至服务端，并拒绝未通过异常检测的业务流量。

2.如权利要求1所述的方法，其特征在于，所述对所述业务流量进行流量清洗，包括：

检测所述业务流量中是否存在目标攻击类型的报文，若存在，则丢弃，其中所述目标攻击类型包括以下任意一项或多项：SYN Flood、ACK Flood、SYN-ACK Flood、FIN Flood、RSTFlood、TCP异常报文攻击、连接耗尽攻击、UDP Flood。

3.如权利要求1所述的方法，其特征在于，所述对所述业务流量进行流量清洗，包括：

根据访问控制策略，对所述业务流量进行过滤，其中所述访问控制策略包括以下任意一项或多项：ACL访问控制、地域访问控制、黑名单机制、带宽限制、总连接数限制、连接速率限制。

4.如权利要求2或3所述的方法，其特征在于，所述利用所述DDoS设备对所述业务流量进行流量清洗，包括：

利用所述DDoS设备将所述业务流量发送至高防IP节点，利用所述高防IP节点对所述业务流量进行流量清洗。

5.如权利要求1所述的方法，其特征在于，在所述利用所述DDoS设备对所述业务流量进行流量清洗之前，还包括：

将saas中心的安全防护配置下发至DDoS设备。

6.如权利要求5所述的方法，其特征在于，在所述将saas中心的安全防护配置下发至DDoS设备之后，还包括：

对安全防护配置进行分类；

在DDoS设备一侧，采用后端进程实时监听saas中心的数据库句柄；若所述数据库句柄发生变化，则确定所述安全防护配置中发生变化的类，并将所述发生变化的类同步至本地。

7.如权利要求1所述的方法，其特征在于，所述利用所述云WAF设备对所述清洗后的业务流量进行异常检测，包括：

在所述云WAF设备一侧，采用目标防护方式检测所述清洗后的业务流量中是否存在扫描类攻击，其中所述目标防护方式包括以下任意一项或多项：服务器的连接限速、7层域名的黑白名单限制、机器学习方式。

8.一种网络安全防护装置，其特征在于，包括：

引流模块：用于将客户端的业务流量通过DNS引流至DDoS设备；

流量清洗模块：用于利用所述DDoS设备对所述业务流量进行流量清洗，并将清洗后的业务流量传输至云WAF设备；

应用防护模块：用于利用所述云WAF设备对所述清洗后的业务流量进行异常检测；将通过异常检测的业务流量传输至服务端，并拒绝未通过异常检测的业务流量。

9.一种网络安全防护系统，其特征在于，包括：DDoS设备和云WAF设备；

其中，客户端的业务流量通过DNS引流至DDoS设备；所述DDoS设备对所述业务流量进行流量清洗，并将清洗后的业务流量传输至云WAF设备；所述云WAF设备对所述清洗后的业务流量进行异常检测，将通过异常检测的业务流量传输至服务端，并拒绝未通过异常检测的业务流量。

Images