CN113783843B - 基于云waf域名调度方法、装置、设备及可读存储介质 - Google Patents

基于云waf域名调度方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN113783843B
CN113783843B CN202110916843.6A CN202110916843A CN113783843B CN 113783843 B CN113783843 B CN 113783843B CN 202110916843 A CN202110916843 A CN 202110916843A CN 113783843 B CN113783843 B CN 113783843B
Authority
CN
China
Prior art keywords
waf
node
available
domain name
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110916843.6A
Other languages
English (en)
Other versions
CN113783843A (zh
Inventor
石少东
申思静
章继虎
杜家浩
危江月
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Hangzhou Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110916843.6A priority Critical patent/CN113783843B/zh
Publication of CN113783843A publication Critical patent/CN113783843A/zh
Application granted granted Critical
Publication of CN113783843B publication Critical patent/CN113783843B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/02Arrangements for optimising operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/04Arrangements for maintaining operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/69Types of network addresses using geographic information, e.g. room number

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于云WAF域名调度方法、装置、设备及可读存储介质,基于云WAF域名调度方法包括:获取经过预处理后的所有可用WAF节点,并确定各所述可用WAF节点中源站对应的目标WAF节点;发送所述源站的域名配置至所述目标WAF节点,并将所述域名配置对应的域名映射为规范名字,将所述规范名字发送至所述目标WAF节点。本发明提高了选择WAF节点的智能性。

Description

基于云WAF域名调度方法、装置、设备及可读存储介质
技术领域
本发明涉及数据处理技术领域,尤其涉及一种基于云WAF域名调度方法、装置、设备及可读存储介质。
背景技术
传统的非嵌入式WAF(Web Application Firewall,Web应用防火墙)调度方法,只是将域名固定解析到一个WAF节点里,用户通过客户端访问目标域名时只会经过这个WAF节点。当有多个WAF节点时,域名解析配置需要经过人工选择WAF节点,这种方式得到的WAF节点可能不是访问最快的,从而导致服务器压力上升,用户体验下降,打开页面需要等待更久的时间。
发明内容
本发明的主要目的在于提供一种基于云WAF域名调度方法、装置、设备及可读存储介质,旨在解决如何提高选择WAF节点的智能性的技术问题。
为实现上述目的,本发明提供一种基于云WAF域名调度方法,包括以下步骤:
获取经过预处理后的所有可用WAF节点,并确定各所述可用WAF节点中源站对应的目标WAF节点;
发送所述源站的域名配置至所述目标WAF节点,并将所述域名配置对应的域名映射为规范名字,将所述规范名字发送至所述目标WAF节点。
可选地,确定各所述可用WAF节点中源站对应的目标WAF节点的步骤,包括:
获取所述源站的源站经纬度,并获取各所述可用WAF节点的节点经纬度;
依次计算所述源站经纬度至各所述节点经纬度的实时距离,并确定各所述实时距离中最小的实时距离,将所述最小的实时距离对应的可用WAF节点作为目标WAF节点。
可选地,获取所述源站的源站经纬度,并获取各所述可用WAF节点的节点经纬度的步骤,包括:
获取所述源站的IP地址,并对所述源站的IP地址进行经纬度解析,得到源站经纬度;
获取各所述可用WAF节点的IP地址,对各所述可用WAF节点的IP地址进行经纬度解析,得到各所述可用WAF节点的节点经纬度。
可选地,确定各所述可用WAF节点中源站对应的目标WAF节点的步骤,包括:
遍历各所述可用WAF节点,并确定遍历的可用WAF节点在预设时长内到所述源站的所有时延,计算所述所有时延的时延平均值;
获取各所述可用WAF节点对应的时延平均值,确定各所述可用WAF节点对应的时延平均值中的最小时延平均值,将所述最小时延平均值对应的可用WAF节点作为目标WAF节点。
可选地,确定各所述可用WAF节点中源站对应的目标WAF节点的步骤,包括:
基于预设的随机筛选规则确定各所述可用WAF节点中的随机可用WAF节点,并将所述随机可用WAF节点作为目标WAF节点。
可选地,将所述规范名字发送至所述目标WAF节点的步骤之后,包括:
检测接收到所述规范名字的所述目标WAF节点是否存在异常,
若存在异常,则重新获取新的目标WAF节点,并将所述规范名字发送至所述新的目标WAF节点。
可选地,将所述规范名字发送至所述目标WAF节点的步骤之后,还包括:
检测所述源站是否宕机;
若所述源站宕机,则获取各所述可用WAF节点中的备用WAF节点,将所述目标WAF节点中的规范名字移动至所述备用WAF节点,并在所述源站恢复时,将所述备用WAF节点中的规范名字移动至所述目标WAF节点。
此外,为实现上述目的,本发明还提供一种基于云WAF域名调度装置,包括:
获取模块,用于获取经过预处理后的所有可用WAF节点,并确定各所述可用WAF节点中源站对应的目标WAF节点;
发送模块,用于发送所述源站的域名配置至所述目标WAF节点,并将所述域名配置对应的域名映射为规范名字,将所述规范名字发送至所述目标WAF节点。
此外,为实现上述目的,本发明还提供一种基于云WAF域名调度设备,基于云WAF域名调度设备包括存储器、处理器及存储在存储器上并可在处理器上运行的基于云WAF域名调度程序,基于云WAF域名调度程序被处理器执行时实现如上述的基于云WAF域名调度方法的步骤。
此外,为实现上述目的,本发明还提供一种可读存储介质,可读存储介质上存储有基于云WAF域名调度程序,基于云WAF域名调度程序被处理器执行时实现如上述的基于云WAF域名调度方法的步骤。
本发明通过获取所有可用WAF节点,并确定各个可用WAF节点中的目标WAF节点,将源站的域名配置发送至目标WAF节点,并将域名配置对应的域名映射为规范名字,再发送至目标WAF节点,从而避免了现有技术中通过人工选择才能获取到目标WAF节点,导致访问页面速度较慢的现象发生,提高了选择目标WAF节点的智能性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的终端\装置结构示意图;
图2为本发明基于云WAF域名调度方法第一实施例的流程示意图;
图3为本发明基于云WAF域名调度装置的装置单元示意图;
图4为本发明基于云WAF域名调度方法中源站检测的流程示意图。
本发明目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。
本发明实施例终端为基于云WAF域名调度设备。
如图1所示,该终端可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,终端还可以包括摄像头、RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。其中,传感器比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示屏的亮度,接近传感器可在终端设备移动到耳边时,关闭显示屏和/或背光。当然,终端设备还可配置陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及基于云WAF域名调度程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的基于云WAF域名调度程序,并执行以下操作:
获取经过预处理后的所有可用WAF节点,并确定各所述可用WAF节点中源站对应的目标WAF节点;
发送所述源站的域名配置至所述目标WAF节点,并将所述域名配置对应的域名映射为规范名字,将所述规范名字发送至所述目标WAF节点。
参照图2,本发明提供一种基于云WAF域名调度方法,在基于云WAF域名调度方法的第一实施例中,基于云WAF域名调度方法包括以下步骤:
步骤S10,获取经过预处理后的所有可用WAF节点,并确定各所述可用WAF节点中源站对应的目标WAF节点;
Web(网络)应用易受多种攻击,如SQL(Structured Query Language,结构化查询语言)注入、0Day漏洞、跨站脚本攻击漏洞,由此可以造成宕机导致企业域名无法打开,因此需要域名安全服务,做好域名的安全防护,防止后期再被攻击,将损失降到最低。WAF(WebApplication Firewall,Web应用防火墙)能够进行Web攻击检测,0Day漏洞虚拟补丁自动下发,更有智能CC(Challenge Collapsar))防护、人机识别,地域封禁,网页防篡改等多种业务风险防护功能,URL(Uniform Resource Locator,统一资源定位器)/IP(InternetProtocol,网际互连协议)黑白名单、访问频率控制等细粒度定制化功能。
WAF分为非嵌入型与嵌入型,非嵌入型指的是硬WAF、云WAF、虚拟机WAF之类的;嵌入型指的是web容器模块类型WAF、代码层WAF。非嵌入型对源站改动最小,只需修改DNS(Domain Name System,域名系统)映射即可。在本实施例中,主要是针对非嵌入式WAF。并且由于目前的WAF域名调度问题,因此,在本实施例中,是基于WAF系统域名进行主动探测,以实现在多种情况下对域名的动态调度及容错处理。
因此,在本实施例中,先获取所有的WAF节点信息,并对各个WAF节点信息进行预处理,即获取各个WAF节点的IP地址,并根据IP地址计算各个WAF节点的经纬度,当计算得到经纬度后,将其存储至数据库,然后在数据库中确定没有异常的所有WAF节点,将其作为可用WAF节点。并在获取到所有的可用WAF节点后,若存在某个网站需要使用WAF节点时,可以将该网站作为源站,并将源站回源添加至对应的可用WAF节点,即目标WAF节点。而确定各个可用WAF节点中源站对应的目标WAF节点时,可以根据IP地址、域名或者随机选择的方式来进行确定。
步骤S20,发送所述源站的域名配置至所述目标WAF节点,并将所述域名配置对应的域名映射为规范名字,将所述规范名字发送至所述目标WAF节点。
当确定目标WAF节点后,将源站的域名配置下发至WAF节点,并可以根据域名信息生成一个cname(规范名字),并将cname映射到目标WAF节点中。其中,cname是解析域名到另外一个域名。其中,域名配置可以是网站的防护配置,比如一些自定义规范、如哪些URL不允许访问、哪些时间段不允许访问,是否为敏感信息(手机号码、身份证号码)进行脱敏、对HTTP(Hyper Text Transfer Protocol,超文本传输协议)请求头进行校验等。
并且,为了辅助理解本实施例中的基于云WAF域名调度方法的流程,下面进行举例说明。
例如,当获取到所有的WAF节点信息时,先对各个WAF节点信息进行预处理,即将所有的WAF节点录入数据库,并根据各个WAF节点的IP地址计算出对应的经纬度。并当存在有源站需要应用WAF节点时,可以添加域名回源加入WAF节点中,具体地,可以是添加域名根据IP地址回源加入WAF节点中,即根据源站的IP地址计算出源站的经纬度,再从数据库中找出不存在故障,可以使用的所有可用WAF节点,然后再根据源站的经纬度和各个可用WAF节点的经纬度计算出源站与各个可用WAF节点之间的距离,并根据距离的大小对各个可用WAF节点进行排序,即按照距离从小到大的顺序进行排序。并根据源站的域名信息生成一个cname,将源站的域名映射到cname。再从各个可用WAF节点的排序中选择前两个可用WAF节点,即距离小的两个可用WAF节点。将源站的配置信息下发到两个距离小的可用WAF节点。将cname映射至第一个WAF节点(即距离最小的可用WAF节点,也就是目标WAF节点)。然后再对第一个WAF节点进行定时探测。若发现异常,则重新选择新的距离最小的可用WAF节点作为目标WAF节点。
或者是根据源站的域名回源加入WAF节点中,即可以随机选择一个WAF节点作为目标WAF节点,也可以根据时延值来确定目标WAF节点。随机选择时,可以是先找出数据库中所有的可用WAF节点,并在各个可用WAF节点中随机选择一个可用WAF节点作为目标WAF节点。
根据时延值确定目标WAF节点时,可以是对所有的可用WAF节点进行定时探测,探测每个可用的WAF节点到源站的时延,即时延值,然后再计算每个WAF节点-域名的时延平均值,将各个时延平均值中最小的时延平均值对应的节点作为目标WAF节点。
并当确定目标WAF节点后,可以进行域名回源加入目标WAF节点的操作。
其中,源站的域名为想要接入WAF节点的网站域名,如网站的源站地址,网站的防护配置。例如,有个学校的网站叫www.njupt.edu.cn想接入WAF,这里的域名就是www.njupt.edu.cn。WAF维护方会根据www.njupt.edu.cn生成一个cname,假如生成的cname为:8ecef276140863b0.waf.komect.com,这时,这个学校就需要将www.njupt.edu.cn DNS解析修改为8ecef276140863b0.waf.komect.com。
由于网站的源站地址:www.njupt.edu.cn已经解析为8ecef276140863b0.waf.komect.com,WAF方将8ecef276140863b0.waf.komect.com解析到WAF防护节点。此时就可以确定若存在浏览器想访问该学校的网站时,其浏览器请求权流程为:浏览器->www.njupt.edu.cn->8ecef276140863b0.waf.komect.com->WAF防护节点->源站。而网站的防护配置则可以是自定义规范要求。
在本实施例中,通过获取所有可用WAF节点,并确定各个可用WAF节点中的目标WAF节点,将源站的域名配置发送至目标WAF节点,并将域名配置对应的域名映射为规范名字,再发送至目标WAF节点,从而避免了现有技术中通过人工选择才能获取到目标WAF节点,导致访问页面速度较慢的现象发生,提高了选择目标WAF节点的智能性。
进一步地,基于上述本发明的第一实施例,提出本发明基于云WAF域名调度方法的第二实施例,在本实施例中,上述实施例步骤S20,确定各所述可用WAF节点中源站对应的目标WAF节点的步骤的步骤的细化,包括:
步骤a,获取所述源站的源站经纬度,并获取各所述可用WAF节点的节点经纬度;
在本实施例中,当获取到所有的可用WAF节点后,并且确定存在有网站(即源站)需要使用WAF节点时,先获取源站所在节点的经纬度,并将其作为源站经纬度,再获取各个可用WAF节点的经纬度,并将其作为节点经纬度。
步骤b,依次计算所述源站经纬度至各所述节点经纬度的实时距离,并确定各所述实时距离中最小的实时距离,将所述最小的实时距离对应的可用WAF节点作为目标WAF节点。
计算源站经纬度至各个节点经纬度之间的实时距离,并将源站经纬度和各个节点经纬度之间的实时距离作为源站和各个可用WAF节点的距离。而计算源站经纬度至节点经纬度的实时距离的方式可以是先设置具有各个常用IP地址对应的经纬度的表格,并将其存储至专门的数据库中,再根据源站的IP地址到表格中查找对应的源站经纬度,并根据各个可用WAF节点的IP地址到表格中查找对应的节点经纬度,再采用预设的经纬度距离计算公式计算源站经纬度和节点经纬度之间的距离,并将其作为实时距离。
当计算得到所有的实时距离后,将各个实时距离依次进行对比,以得到各个实时距离中最小的实时距离,将最小的实时距离对应的可用WAF节点作为目标WAF节点。也就是在本实施例中,只需要知道源站的IP地址,就可以直接计算距离,根据距离选择目标WAF节点。
在本实施例中,通过根据源站的源站经纬度和各个可用WAF节点的节点经纬度计算实时距离,并将最小的实时距离对应的可用WAF节点作为目标WAF节点,从而保障了获取到的目标WAF节点的有效性。
具体地,获取所述源站的源站经纬度,并获取各所述可用WAF节点的节点经纬度的步骤,包括:
步骤c,获取所述源站的IP地址,并对所述源站的IP地址进行经纬度解析,得到源站经纬度;
在本实施例中,计算源站经纬度时,可以先设置具有各个常用IP地址对应的经纬度的表格,并将其存储至专门的数据库中。然后再对源站的IP地址进行解析,根据解析结果到此专门的数据库中进行查询,以得到源站对应的经纬度,即源站经纬度。
步骤d,获取各所述可用WAF节点的IP地址,对各所述可用WAF节点的IP地址进行经纬度解析,得到各所述可用WAF节点的节点经纬度。
获取各个可用WAF节点对应的节点经纬度时,也可以是对各个可用WAF节点的IP地址进行解析,再到专门的数据库中进行查询,得到各个可用WAF节点的经纬度,即节点经纬度。
在本实施例中,通过对源站的IP地址进行解析,得到源站经纬度,对各个可用WAF节点的IP地址进行解析,得到节点经纬度,从而为后续计算目标WAF节点提供了基础。
进一步地,确定各所述可用WAF节点中源站对应的目标WAF节点的步骤,包括:
步骤e,遍历各所述可用WAF节点,并确定遍历的可用WAF节点在预设时长内到所述源站的所有时延,计算所述所有时延的时延平均值;
在本实施例中,确定目标WAF节点的方式还可以是根据解析的域名来确定。即可以先遍历各个可用WAF节点,并可以对遍历的可用WAF节点进行定时探测,探测到遍历的可用WAF节点在预设时长内到源站的所有时延,再计算所有时延的时延平均值。而计算每个可用WAF节点的时延平均值的方式可以是每个WAF节点同时发出10个ping命令计算平均时延。
步骤f,获取各所述可用WAF节点对应的时延平均值,确定各所述可用WAF节点对应的时延平均值中的最小时延平均值,将所述最小时延平均值对应的可用WAF节点作为目标WAF节点。
当计算获取到所有可用WAF节点对应的时延平均值后,可以对各个时延平均值进行比较,从中选择数值最小的时延平均值,即最小时延平均值,再将最小时延平均值对应的可用WAF节点作为目标WAF节点。
在本实施例中,通过计算各个可用WAF节点的时延平均值,并将其最小的最小时延平均值对应的可用WAF节点作为目标WAF节点,从而保障了获取到的目标WAF节点的准确性。
进一步地,确定各所述可用WAF节点中源站对应的目标WAF节点的步骤,包括:
步骤h,基于预设的随机筛选规则确定各所述可用WAF节点中的随机可用WAF节点,并将所述随机可用WAF节点作为目标WAF节点。
在本实施例中,确定目标WAF节点的方式还可以是随机选择一个可用WAF节点来确定,即可以先设置一个随机筛选规则,如先确定各个可用WAF节点是否能加载源站,若可以,则在各个可用WAF节点中随机选择一个可用户WAF节点作为随机可用WAF节点,并将随机可用WAF节点作为目标WAF节点。若存在某个可用WAF节点无法加载源站,即无法接收cname,则从剩下的可用WAF节点中随机选择一个作为目标WAF节点。
在本实施例中,通过根据提前设置的随机筛选规则从各个可用WAF节点中随机选择一个可用WAF节点作为目标WAF节点,从而保障了获取到的目标WAF节点的时效性。
进一步地,将所述规范名字发送至所述目标WAF节点的步骤之后,包括:
步骤k,检测接收到所述规范名字的所述目标WAF节点是否存在异常,
在本实施例中,当将源站进行映射后产生的规范名字发送至目标WAF节点后,还需要对接收到规范名字后的目标WAF节点进行检查,确定是否存在异常,并根据不同的检测结果执行不同的操作。
步骤m,若存在异常,则重新获取新的目标WAF节点,并将所述规范名字发送至所述新的目标WAF节点。
当经过判断发现目标WAF节点有存在异常,则需要重新获取新的目标WAF节点,而获取新的目标WAF节点的方式和获取目标WAF节点的方式相同,在此不做阐述,然后再将规范名字发送至新的目标WAF节点,并继续对新的目标WAF节点进行实时监测。
在本实施例中,通过在检测到目标WAF节点存在异常时,将规范名字发送至新的目标WAF节点,从而保障了系统的高可用性。
进一步地,将所述规范名字发送至所述目标WAF节点的步骤之后,还包括:
步骤x,检测所述源站是否宕机;
步骤y,若所述源站宕机,则获取各所述可用WAF节点中的备用WAF节点,将所述目标WAF节点中的规范名字移动至所述备用WAF节点,并在所述源站恢复时,将所述备用WAF节点中的规范名字移动至所述目标WAF节点。
在本实施例中,需要实时监测源站是否宕机,若监测发现源站宕机,则可以直接获取各个可用WAF节点中的备用WAF节点,而备用WAF节点的选择可以在选择目标WAF节点后,在剩下的各个可用WAF节点中按照选择目标WAF节点的方式再次选择一个可用WAF节点作为备用WAF节点,再将目标WAF节点中的规范名字移动至备用WAF节点,并在源站恢复时,将备用WAF节点中的规范名字再移动至目标WAF节点。
例如,单独建设若干个备份WAF节点定时去缓存源站页面,管理节点定时去探测源站是否宕机,若发现源站宕机,则将源站对应的cname解析到备用WAF节点,并向源站发出告警信息,若发现源站恢复,则可以将对应的cname解析回滚到上次的解析状态。例如,如图4所示,实时检测源站是否宕机,若否,则下发配置至目标WAF节点,并修改DNS映射,直至结束,若源站宕机,则检测是否切备节点,若是,则进行切换,并在检查到源站恢复时,确定是否回滚DNS映射,若是,则回滚DNS映射,直至结束。
并且,在本实施例中,基于云WAF域名调度的方式相对传统的调度方式可以存在至少以下优点,即最小的响应时延。对于多个WAF节点,最好的方案就是将域名调度到响应时延最小的节点上;操作简单,对于用户来说域名的调度是透明的,用户无感知的,所有的调度方案都是内部自动化运行的,用户只需将域名映射到对应的cname上即可;保证了系统高可用。高可用主要体现在两个方面:第一,如果一个WAF节点故障导致不能访问,系统也会及时的发现并及时将上面的域名迁移到其他最优的节点;第二,如果源站发生故障导致不能访问,本系统有备份WAF节点,管理节点会将管理节点将源站对应的cname解析到一个可用的备份WAF节点,保证了即使源站故障,源站的首页信息仍然能被访问到。高度可扩展能力,并自动最优化。随着业务的扩展,需要新增WAF节点,只需在系统中加入新的WAF节点信息即可,管理平台会根据WAF节点-域名最小响应时延自动将域名迁移到该节点,无需手动迁移数据。
此外,参照图3,本发明实施例还提供一种基于云WAF域名调度装置,包括:
获取模块A10,用于获取经过预处理后的所有可用WAF节点,并确定各所述可用WAF节点中源站对应的目标WAF节点;
发送模块A20,用于发送所述源站的域名配置至所述目标WAF节点,并将所述域名配置对应的域名映射为规范名字,将所述规范名字发送至所述目标WAF节点。
可选地,获取模块A10,用于:
获取所述源站的源站经纬度,并获取各所述可用WAF节点的节点经纬度;
依次计算所述源站经纬度至各所述节点经纬度的实时距离,并确定各所述实时距离中最小的实时距离,将所述最小的实时距离对应的可用WAF节点作为目标WAF节点。
可选地,获取模块A10,用于:
获取所述源站的IP地址,并对所述源站的IP地址进行经纬度解析,得到源站经纬度;
获取各所述可用WAF节点的IP地址,对各所述可用WAF节点的IP地址进行经纬度解析,得到各所述可用WAF节点的节点经纬度。
可选地,获取模块A10,用于:
遍历各所述可用WAF节点,并确定遍历的可用WAF节点在预设时长内到所述源站的所有时延,计算所述所有时延的时延平均值;
获取各所述可用WAF节点对应的时延平均值,确定各所述可用WAF节点对应的时延平均值中的最小时延平均值,将所述最小时延平均值对应的可用WAF节点作为目标WAF节点。
可选地,获取模块A10,用于:
基于预设的随机筛选规则确定各所述可用WAF节点中的随机可用WAF节点,并将所述随机可用WAF节点作为目标WAF节点。
可选地,发送模块A20,用于:
检测接收到所述规范名字的所述目标WAF节点是否存在异常,
若存在异常,则重新获取新的目标WAF节点,并将所述规范名字发送至所述新的目标WAF节点。
可选地,发送模块A20,用于:
检测所述源站是否宕机;
若所述源站宕机,则获取各所述可用WAF节点中的备用WAF节点,将所述目标WAF节点中的规范名字移动至所述备用WAF节点,并在所述源站恢复时,将所述备用WAF节点中的规范名字移动至所述目标WAF节点。
其中,基于云WAF域名调度装置的各个功能单元实现的步骤可参照本发明基于云WAF域名调度方法的各个实施例,此处不再赘述。
此外,本发明还提供一种基于云WAF域名调度设备,所述基于云WAF域名调度设备包括:存储器、处理器及存储在所述存储器上的基于云WAF域名调度程序;所述处理器用于执行所述基于云WAF域名调度程序,以实现上述基于云WAF域名调度方法各实施例的步骤。
本发明还提供了一种可读存储介质,可读存储介质可以为计算机可读存储介质,所述计算机可读存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序还可被一个或者一个以上的处理器执行以用于实现上述基于云WAF域名调度方法各实施例的步骤。
本发明计算机可读存储介质具体实施方式与上述基于云WAF域名调度方法各实施例基本相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种基于云WAF域名调度方法,其特征在于,所述基于云WAF域名调度方法包括以下步骤:
获取经过预处理后的所有可用WAF节点,并确定各所述可用WAF节点中源站对应的目标WAF节点;
发送所述源站的域名配置至所述目标WAF节点,并将所述域名配置对应的域名映射为规范名字,将所述规范名字发送至所述目标WAF节点。
2.如权利要求1所述的基于云WAF域名调度方法,其特征在于,所述确定各所述可用WAF节点中源站对应的目标WAF节点的步骤,包括:
获取所述源站的源站经纬度,并获取各所述可用WAF节点的节点经纬度;
依次计算所述源站经纬度至各所述节点经纬度的实时距离,并确定各所述实时距离中最小的实时距离,将所述最小的实时距离对应的可用WAF节点作为目标WAF节点。
3.如权利要求2所述的基于云WAF域名调度方法,其特征在于,所述获取所述源站的源站经纬度,并获取各所述可用WAF节点的节点经纬度的步骤,包括:
获取所述源站的IP地址,并对所述源站的IP地址进行经纬度解析,得到源站经纬度;
获取各所述可用WAF节点的IP地址,对各所述可用WAF节点的IP地址进行经纬度解析,得到各所述可用WAF节点的节点经纬度。
4.如权利要求1所述的基于云WAF域名调度方法,其特征在于,所述确定各所述可用WAF节点中源站对应的目标WAF节点的步骤,包括:
遍历各所述可用WAF节点,并确定遍历的可用WAF节点在预设时长内到所述源站的所有时延,计算所述所有时延的时延平均值;
获取各所述可用WAF节点对应的时延平均值,确定各所述可用WAF节点对应的时延平均值中的最小时延平均值,将所述最小时延平均值对应的可用WAF节点作为目标WAF节点。
5.如权利要求1所述的基于云WAF域名调度方法,其特征在于,所述确定各所述可用WAF节点中源站对应的目标WAF节点的步骤,包括:
基于预设的随机筛选规则确定各所述可用WAF节点中的随机可用WAF节点,并将所述随机可用WAF节点作为目标WAF节点。
6.如权利要求1所述的基于云WAF域名调度方法,其特征在于,所述将所述规范名字发送至所述目标WAF节点的步骤之后,包括:
检测接收到所述规范名字的所述目标WAF节点是否存在异常,
若存在异常,则重新获取新的目标WAF节点,并将所述规范名字发送至所述新的目标WAF节点。
7.如权利要求1所述的基于云WAF域名调度方法,其特征在于,所述将所述规范名字发送至所述目标WAF节点的步骤之后,还包括:
检测所述源站是否宕机;
若所述源站宕机,则获取各所述可用WAF节点中的备用WAF节点,将所述目标WAF节点中的规范名字移动至所述备用WAF节点,并在所述源站恢复时,将所述备用WAF节点中的规范名字移动至所述目标WAF节点。
8.一种基于云WAF域名调度装置,其特征在于,所述基于云WAF域名调度装置包括:
获取模块,用于获取经过预处理后的所有可用WAF节点,并确定各所述可用WAF节点中源站对应的目标WAF节点;
发送模块,用于发送所述源站的域名配置至所述目标WAF节点,并将所述域名配置对应的域名映射为规范名字,将所述规范名字发送至所述目标WAF节点。
9.一种基于云WAF域名调度设备,其特征在于,所述基于云WAF域名调度设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的基于云WAF域名调度程序,所述基于云WAF域名调度程序被所述处理器执行时实现如权利要求1至7中任一项所述的基于云WAF域名调度方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有基于云WAF域名调度程序,所述基于云WAF域名调度程序被处理器执行时实现如权利要求1至7中任一项所述的基于云WAF域名调度方法的步骤。
CN202110916843.6A 2021-08-10 2021-08-10 基于云waf域名调度方法、装置、设备及可读存储介质 Active CN113783843B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110916843.6A CN113783843B (zh) 2021-08-10 2021-08-10 基于云waf域名调度方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110916843.6A CN113783843B (zh) 2021-08-10 2021-08-10 基于云waf域名调度方法、装置、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN113783843A CN113783843A (zh) 2021-12-10
CN113783843B true CN113783843B (zh) 2022-11-29

Family

ID=78837234

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110916843.6A Active CN113783843B (zh) 2021-08-10 2021-08-10 基于云waf域名调度方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN113783843B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115776414B (zh) * 2023-02-10 2023-04-07 天翼云科技有限公司 一种监测方法、装置、电子设备及可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107948150A (zh) * 2017-11-22 2018-04-20 新华三技术有限公司 报文转发方法及装置
CN110505235A (zh) * 2019-09-02 2019-11-26 四川长虹电器股份有限公司 一种绕过云waf的恶意请求的检测系统及方法
CN111711716A (zh) * 2020-08-20 2020-09-25 苏州浪潮智能科技有限公司 一种域名解析方法、装置、设备及可读存储介质
WO2020205719A1 (en) * 2019-03-29 2020-10-08 Jpmorgan Chase Bank, N.A. Dynamic application firewalling in cloud systems

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107948150A (zh) * 2017-11-22 2018-04-20 新华三技术有限公司 报文转发方法及装置
WO2020205719A1 (en) * 2019-03-29 2020-10-08 Jpmorgan Chase Bank, N.A. Dynamic application firewalling in cloud systems
CN110505235A (zh) * 2019-09-02 2019-11-26 四川长虹电器股份有限公司 一种绕过云waf的恶意请求的检测系统及方法
CN111711716A (zh) * 2020-08-20 2020-09-25 苏州浪潮智能科技有限公司 一种域名解析方法、装置、设备及可读存储介质

Also Published As

Publication number Publication date
CN113783843A (zh) 2021-12-10

Similar Documents

Publication Publication Date Title
US10412176B2 (en) Website access method, apparatus, and website system
US8707429B2 (en) DNS resolution, policies, and views for large volume systems
CN107003877B (zh) 应用的上下文深层链接
KR102090982B1 (ko) 악의 웹 사이트 식별 방법, 장치 및 컴퓨터 기억매체
CN108256014B (zh) 页面展示方法及装置
US9754113B2 (en) Method, apparatus, terminal and media for detecting document object model-based cross-site scripting attack vulnerability
CN110430188B (zh) 一种快速url过滤方法及装置
CN109802919B (zh) 一种web网页访问拦截方法及装置
CN109067936B (zh) 一种域名解析的方法及装置
CN104601601A (zh) 网络爬虫的检测方法及装置
WO2020228038A1 (zh) 域名处理方法、装置、电子设备以及存储介质
CN109672658B (zh) Json劫持漏洞的检测方法、装置、设备及存储介质
US10931688B2 (en) Malicious website discovery using web analytics identifiers
CN105635064A (zh) Csrf攻击检测方法及装置
CN105635073A (zh) 访问控制方法、装置和网络接入设备
CN113783843B (zh) 基于云waf域名调度方法、装置、设备及可读存储介质
CN110933193B (zh) 域名解析方法、装置、电子设备及计算机可读存储介质
CN112804369A (zh) 一种网络系统及网络访问安全检测方法、装置和相关设备
CN110677506B (zh) 网络访问方法、装置、计算机设备及存储介质
CN113923008B (zh) 一种恶意网站拦截方法、装置、设备及存储介质
CN109788050B (zh) 一种获取源站ip地址方法、系统、电子设备和介质
CN110457900B (zh) 一种网站监测方法、装置、设备及可读存储介质
JP6484166B2 (ja) 名前解決装置、名前解決方法及び名前解決プログラム
CN104506529A (zh) 网站防护方法和装置
CN114024947B (zh) 一种基于浏览器的web访问方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant