CN114157441A - 请求处理系统、方法、电子设备及存储介质 - Google Patents
请求处理系统、方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114157441A CN114157441A CN202010832191.3A CN202010832191A CN114157441A CN 114157441 A CN114157441 A CN 114157441A CN 202010832191 A CN202010832191 A CN 202010832191A CN 114157441 A CN114157441 A CN 114157441A
- Authority
- CN
- China
- Prior art keywords
- target control
- user request
- equipment
- waf
- control equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000001514 detection method Methods 0.000 claims abstract description 90
- 230000008569 process Effects 0.000 claims abstract description 20
- 238000003672 processing method Methods 0.000 claims abstract description 16
- 238000004891 communication Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 15
- 230000003993 interaction Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 206010033799 Paralysis Diseases 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种请求处理系统、方法、电子设备及存储介质,所述系统包括:目标控制设备、WAF设备以及业务服务设备,其中,目标控制设备与业务服务设备相连接,所述WAF设备作为旁路与所述目标控制设备相连接;在所述目标控制设备接收到用户请求的情况下,所述目标控制设备将所述用户请求转发至所述WAF设备;所述WAF设备根据预设安全规则对所述用户请求进行攻击检测,并将攻击检测结果返回至所述目标控制设备;所述目标控制设备根据所述攻击检测结果确定是否拦截所述用户请求;若所述目标控制设备确定未拦截所述用户请求,所述目标控制设备将所述用户请求发送至所述业务服务设备,以使所述业务服务设备对所述用户请求进行处理。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种请求处理系统、方法、电子设备及存储介质。
背景技术
通常企业或者机构采用传统防火墙作为安全保障的第一道防线,传统防火墙在第三层(网络层)可以有效的阻断一些数据包。而随着Web应用的功能越来越丰富,Web服务器因为其强大的计算能力,处理性能,蕴含较高的价值,逐渐成为主要的攻击目标(主要攻击在应用层)。由于传统防火墙在阻止攻击者利用应用程序漏洞进行的攻击方面存在缺陷,在此背景下,WAF(Web Application Firewall,Web应用防护系统)应运而生。
相关技术中,WAF部署在Web服务器之前,对基于HTTP协议的通信进行检测和识别。通俗的说,WAF类似于地铁站的安检,对于HTTP请求进行快速安全检查,通过解析HTTP数据,在不同的字段分别在特征、规则等维度进行判断,判断的结果作为是否拦截的依据,从而决定是否放行HTTP请求至Web服务器。
由于攻击的多样性和不可预测性,导致WAF的检测规则和策略需要不断更新维护,从而有可能导致WAF出现故障,或者有些攻击针对WAF,有可能导致WAF瘫痪。在WAF出现故障或者瘫痪的情况下,整个数据链路中断,进而导致Web业务中断,Web业务稳定性无法保障。
发明内容
本发明实施例的目的在于提供一种请求处理系统、方法、电子设备及存储介质,以实现提高数据链路稳定性、Web业务稳定性的有益效果。具体技术方案如下:
在本发明实施例的第一方面,首先提供了请求处理系统,所述系统包括:目标控制设备、WAF设备以及业务服务设备,其中,所述目标控制设备与所述业务服务设备相连接,所述WAF设备作为旁路与所述目标控制设备相连接;
在所述目标控制设备接收到用户请求的情况下,所述目标控制设备将所述用户请求转发至所述WAF设备;
所述WAF设备根据预设安全规则对所述用户请求进行攻击检测,并将攻击检测结果返回至所述目标控制设备;
所述目标控制设备根据所述攻击检测结果确定是否拦截所述用户请求;
若所述目标控制设备确定未拦截所述用户请求,所述目标控制设备将所述用户请求发送至所述业务服务设备,以使所述业务服务设备对所述用户请求进行处理。
在一个可选的实施方式中,所述目标控制设备根据所述攻击检测结果确定是否拦截所述用户请求,包括:
在预设时间段内所述目标控制设备判断是否接收到所述攻击检测结果;
在预设时间段内若所述目标控制设备接收到所述攻击检测结果,所述目标控制设备则根据所述攻击检测结果确定是否拦截所述用户请求。
在一个可选的实施方式中,所述系统还包括:
在预设时间段内若所述目标控制设备未接收到所述攻击检测结果,所述目标控制设备则确定所述WAF设备攻击检测超时,并将所述用户请求直接发送至所述业务服务设备。
在一个可选的实施方式中,所述系统还包括:
若所述目标控制设备确定拦截所述用户请求,所述目标控制设备构建自定义响应消息;
所述目标控制设备将所述自定义响应消息反馈至所述用户请求的发送方。
在一个可选的实施方式中,所述在所述目标控制设备接收到用户请求的情况下,所述目标控制设备将所述用户请求转发至所述WAF设备,包括:
在所述目标控制设备接收到用户请求的情况下,所述目标控制设备获取本地系统配置信息;
所述目标控制设备根据所述系统配置信息确定是否开启WAF;
若所述目标控制设备确定开启WAF,所述目标控制设备将所述用户请求转发至所述WAF设备;
若所述目标控制设备确定未开启WAF,所述目标控制设备将所述用户请求直接发送至所述业务服务设备。
在一个可选的实施方式中,所述系统还包括负载均衡设备,以及所述控制设备为多台,其中,多台所述控制设备均与所述负载均衡设备相连接;
所述在所述目标控制设备接收到用户请求的情况下,所述目标控制设备将所述用户请求转发至所述WAF设备,包括:
在所述负载均衡设备接收到用户请求的情况下,所述负载均衡设备根据负载均衡算法从多台所述控制设备中确定控制所述用户请求的目标控制设备;
所述负载均衡设备将所述用户请求发送至所述目标控制设备;
在所述目标控制设备接收到所述用户请求的情况下,所述目标控制设备将所述用户请求转发至所述WAF设备。
在一个可选的实施方式中,多台所述控制设备对应于所述WAF设备,与所述WAF设备分别相连接;
或者,
所述WAF设备为多台,多台所述控制设备对应于多台所述WAF设备,所述控制设备与所述WAF设备一一对应相连接;
所述在所述目标控制设备接收到用户请求的情况下,所述目标控制设备将所述用户请求转发至所述WAF设备,包括:
在所述目标控制设备接收到用户请求的情况下,所述目标控制设备将所述用户请求转发至所述目标控制设备对应的所述WAF设备。
在本发明实施例的第二方面,还提供了一种请求处理方法,应用于目标控制设备,其中,所述目标控制设备与业务服务设备相连接,WAF设备作为旁路与所述目标控制设备相连接,所述方法包括:
在接收到用户请求的情况下,将所述用户请求转发至所述WAF设备,其中,所述WAF设备根据预设安全规则对所述用户请求进行攻击检测,并将攻击检测结果返回至所述目标控制设备;
接收所述攻击检测结果,并根据所述攻击检测结果确定是否拦截所述用户请求;
若确定未拦截所述用户请求,将所述用户请求发送至所述业务服务设备,以使所述业务服务设备对所述用户请求进行处理。
在本发明实施例的第三方面,还提供了一种请求处理装置,应用于目标控制设备,其中,所述目标控制设备与业务服务设备相连接,WAF设备作为旁路与所述目标控制设备相连接,所述装置包括:
请求转发模块,用于在接收到用户请求的情况下,将所述用户请求转发至所述WAF设备,其中,所述WAF设备根据预设安全规则对所述用户请求进行攻击检测,并将攻击检测结果返回至所述目标控制设备;
拦截确定模块,用于接收所述攻击检测结果,并根据所述攻击检测结果确定是否拦截所述用户请求;
请求发送模块,用于若确定未拦截所述用户请求,将所述用户请求发送至所述业务服务设备,以使所述业务服务设备对所述用户请求进行处理。
在本发明实施例的第四方面,还提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述所述的请求处理方法。
在本发明实施例的五方面,还提供了一种存储介质,所述存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述所述的请求处理方法。
在本发明实施例的第六方面,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述所述的请求处理方法。
本发明实施例提供的技术方案,目标控制设备与业务服务设备相连接,WAF设备作为旁路与目标控制设备相连接,在目标控制设备接收到用户请求的情况下,目标控制设备将用户请求转发至WAF设备,WAF设备根据预设安全规则对用户请求进行攻击检测,将攻击检测结果返回至目标控制设备,目标控制设备根据攻击检测结果确定是否拦截用户请求,若目标控制设备确定未拦截用户请求,目标控制设备将用户请求发送至业务服务神,由业务服务设备对用户请求进行处理。如此将WAF设备作为旁路与目标控制设备相连接,在WAF出现故障或者瘫痪的情况下,整个数据链路无影响,提高了数据链路稳定性、Web业务稳定性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中示出的一种请求处理系统的结构示意图;
图2为本发明实施例中示出的一种请求处理方法的交互流程示意图;
图3为本发明实施例中示出的另一种请求处理系统的结构示意图;
图4为本发明实施例中示出的另一种请求处理系统的结构示意图;
图5为本发明实施例中示出的另一种请求处理方法的交互流程示意图;
图6为本发明实施例中示出的一种负载均衡交互流程示意图;
图7为本发明实施例中示出的一种请求处理方法的实施流程示意图;
图8为本发明实施例中示出的一种请求处理装置的结构示意图;
图9为本发明实施例中示出的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
如图1所示,为本发明实施例提供的一种请求处理系统的架构示意图,该请求处理系统中具体包括目标控制设备、WAF设备以及业务服务设备,其中,目标控制设备与业务服务设备相连接,WAF设备作为旁路与目标控制设备相连接,则目标控制设备与业务服务设备所在的数据链路为主路。
对于目标控制设备,可以是nginx,是一个高性能的HTTP和反向代理web服务器,本发明实施例对此不作限定。对于业务服务设备,可以是具体地业务服务器,本发明实施例对此不作限定。
如图2所示,为本发明实施例提供的一种请求处理方法的交互流程示意图,该方法具体可以包括以下步骤:
S201,在所述目标控制设备接收到用户请求的情况下,所述目标控制设备将所述用户请求转发至所述WAF设备。
在本发明实施例中,用户可以在客户端触发用户请求,客户端将用户请求发送至负载均衡设备,负载均衡设备将该用户请求发送至目标控制设备,如此目标控制设备可以接收到用户请求,以确定是否拦截该用户请求。
在目标控制设备接收到用户请求的情况下,为了确定是否拦截该用户请求,该目标控制设备将该用户请求转发至WAF设备进行攻击检测,如此由旁路的WAF设备对该用户请求进行攻击检测。
例如,在目标nginx接收到负载均衡设备发送的用户请求的情况下,为了确定是否拦截该用户请求,避免对业务服务器的攻击,目标nginx将该用户请求转发至WAF设备进行攻击检测。
由于攻击的多样性和不可预测性,导致WAF的检测规则和策略需要不断更新维护,从而有可能导致WAF出现故障,或者有些攻击针对WAF,有可能导致WAF瘫痪,在此背景下,目标控制设备在将用户请求转发至WAF设备之前,目标控制设备检测WAF设备是否处于瘫痪、崩溃、异常等状态,在确定WAF设备处于正常状态的情况下,目标控制设备将该用户请求转发至WAF设备。
另外,在确定WAF设备处于正常状态的情况下,目标控制设备还需进一步确定是否开启WAF,即目标控制设备获取本地系统配置信息,根据该系统配置信息确实是否开启WAF,如果确定开启WAF,将该用户请求转发至WAF设备,如果确定不开启WAF,将该用户请求直接发送至业务服务设备,无需进行攻击检测。
需要说明的是,本发明实施例中目标控制设备将用户请求转发至WAF设备,其实质是目标控制设备复制该用户请求发送至WAF设备,本发明实施例对此不作限定。
S202,所述WAF设备根据预设安全规则对所述用户请求进行攻击检测,并将攻击检测结果返回至所述目标控制设备。
WAF设备接收目标控制设备转发的用户请求,根据预设安全规则对该用户请求进行攻击检测,并将攻击检测结果返回至目标控制设备。
其中,对于用户请求,即THHP请求,WAF设备进行快速安全检查,通过解析HTTP数据,在不同的字段分别在特征、规则等维度进行判断,判断的结果作为是否拦截的依据,从而目标控制设备决定是否放行HTTP请求至业务服务设备。
S203,所述目标控制设备根据所述攻击检测结果确定是否拦截所述用户请求。
对于目标控制设备,接收WAF设备返回的攻击检测结果,根据攻击检测结果确定是否拦截该用户请求。
例如,对于目标nginx,接收WAF设备返回的攻击检测结果,如果该攻击检测结果显示为403,则确定拦截该用户请求,如果该攻击检测结果显示为其它信息,则确定不拦截该用户请求,可以放行至业务服务器。
S204,若所述目标控制设备确定未拦截所述用户请求,所述目标控制设备将所述用户请求发送至所述业务服务设备,以使所述业务服务设备对所述用户请求进行处理。
对于目标控制设备,如果确定不拦截该用户请求,可以放行至业务服务设备,即将该用户请求发送至业务服务设备,以使业务服务设备对该用户请求进行处理。
对于目标控制设备,如果确定拦截该用户请求,可以构建自定义响应消息,将该自定义响应消息反馈至用户请求的发送方,比如通过负载均衡设备发送至客户端,如此避免对业务服务设备的攻击。
通过上述对本发明实施例提供的技术方案的描述,目标控制设备与业务服务设备相连接,WAF设备作为旁路与目标控制设备相连接,在目标控制设备接收到用户请求的情况下,目标控制设备将用户请求转发至WAF设备,WAF设备根据预设安全规则对用户请求进行攻击检测,将攻击检测结果返回至目标控制设备,目标控制设备根据攻击检测结果确定是否拦截用户请求,若目标控制设备确定未拦截用户请求,目标控制设备将用户请求发送至业务服务神,由业务服务设备对用户请求进行处理。如此将WAF设备作为旁路与目标控制设备相连接,在WAF出现故障或者瘫痪的情况下,整个数据链路无影响,提高了数据链路稳定性、Web业务稳定性。
为了进一步提高数据链路稳定性、Web业务稳定性,防止因单个控制设备故障导致数据链路中断,如图3所示,为本发明实施例提供的另一种请求处理系统的架构示意图,该请求处理系统具体可以包括负载均衡设备,多台控制设备,WAF设备以及业务服务设备。
其中,多台控制设备均与负载均衡设备相连接,多台控制设备均与业务服务设备相连接,多台控制设备对应于WAF设备,均与WAF设备相连接。
或者,为了进一步提高数据链路稳定性、Web业务稳定性,防止因单个控制设备故障导致数据链路中断,同时兼顾攻击检测效率,如图4所示,为本发明实施例提供的另一种请求处理系统的架构示意图,该请求处理系统具体可以包括负载均衡设备,多台控制设备,多台WAF设备以及业务服务设备。
其中,多台控制设备均与负载均衡设备相连接,多台控制设备均与业务服务设备相连接,多台控制设备对应于多台WAF设备,控制设备与WAF设备一一对应相连接。
基于上述请求处理系统的架构示意图,如图5所示,为本发明实施例提供的另一种请求处理方法的交互流程示意图,该方法具体可以包括以下步骤:
S501,在所述目标控制设备接收到用户请求的情况下,所述目标控制设备将所述用户请求转发至所述WAF设备。
在负载均衡设备接收到用户请求的情况下,负载均衡设备根据负载均衡算法从多台控制设备中确定控制用户请求的目标控制设备。其中,该用户请求可以由客户端发送至负载均衡设备。
对于负载均衡算法,例如可以是轮询、随机等,当然还可以是其它负载均衡算法,本发明实施例在此不再一一赘述。
在确定控制用户请求的目标控制设备之后,负载均衡设备可以将该用户请求发送至目标控制设备。
目标控制设备可以接收该用户请求,在接收到用户请求的情况下,可以将该用户请求转发至WAF设备,如图6所示。
另外,如果控制设备与WAF设备一一对应相连接,在目标控制设备接收到用户请求的情况下,目标控制设备将该用户请求转发至目标控制设备对应的WAF设备。
需要说明的是,对于转发用户请求至WAF设备的执行流程,具体可以参考上述实施例,本发明实施例在此不再一一赘述。
S502,所述WAF设备根据预设安全规则对所述用户请求进行攻击检测,并将攻击检测结果返回至所述目标控制设备。
在本发明实施例中,本步骤与上述步骤S102类似,本发明实施例在此不再一一赘述。
S503,在预设时间段内所述目标控制设备判断是否接收到所述攻击检测结果。
在本发明实施例中,为了避免攻击检测对数据链路产生的影响,避免数据链路出现延迟,因此预设设置时间段,WAF设备在预设时间段内进行攻击检测,如果未在预设时间段内完成攻击检测,则目标控制设备直接将用户请求发送至业务服务设备。为此,本发明实施例目标控制设备,在预设时间段内判断是否接收到上述攻击检测结果。
例如,预设时间段2秒,在2秒内,目标nginx判断是否接收到WAF设备返回的攻击检测结果。
S504,在预设时间段内若所述目标控制设备接收到所述攻击检测结果,所述目标控制设备则根据所述攻击检测结果确定是否拦截所述用户请求。
对于目标控制设备,如果在预设时间段内接收到WAF设备返回的攻击检测结果,则表明WAF设备进行攻击检测未超时,此时目标控制设备可以根据攻击检测结果确实是否拦截该用户请求。
例如,在2秒内,目标nginx接收到WAF设备返回的攻击检测结果,可以根据该攻击检测结果确定是否拦截用户请求。
S505,在预设时间段内若所述目标控制设备未接收到所述攻击检测结果,所述目标控制设备则确定所述WAF设备攻击检测超时,并将所述用户请求直接发送至所述业务服务设备。
对于目标设备,如果在预设时间段内未接收到WAF设备返回的攻击检测结果,则表明WAF设备进行攻击检测超时,为了避免攻击检测对数据链路产生的影响,避免数据链路出现延迟,将用户请求直接发送至业务服务设备,并不进行拦截。
例如,在2秒内,目标nginx未接收到WAF设备返回的攻击检测结果,则确定WAF设备攻击检测超时,将用户请求直接发送至业务服务器。
S506,若所述目标控制设备确定未拦截所述用户请求,所述目标控制设备将所述用户请求发送至所述业务服务设备,以使所述业务服务设备对所述用户请求进行处理。
在本发明实施例中,本步骤与上述步骤S204类似,本发明实施例在此不再一一赘述。
如图7所示,为本发明实施例提供的一种请求处理方法的实施流程示意图,应用于目标控制设备,该方法具体可以包括以下步骤:
S701,在接收到用户请求的情况下,将所述用户请求转发至所述WAF设备,其中,所述WAF设备根据预设安全规则对所述用户请求进行攻击检测,并将攻击检测结果返回至所述目标控制设备。
S702,接收所述攻击检测结果,并根据所述攻击检测结果确定是否拦截所述用户请求。
S703若确定未拦截所述用户请求,将所述用户请求发送至所述业务服务设备,以使所述业务服务设备对所述用户请求进行处理。
其中,目标控制设备执行的具体步骤可以参考上述实施例,本发明实施例在此不再一一赘述。
与上述方法实施例相对应,本发明实施例还提供了一种请求处理装置,如图8所示,应用于目标控制设备,其中,目标控制设备与业务服务设备相连接,WAF设备作为旁路与目标控制设备相连接,该装置可以包括:请求转发模块810、拦截确定模块820、请求发送模块830。
请求转发模块810,用于在接收到用户请求的情况下,将所述用户请求转发至所述WAF设备,其中,所述WAF设备根据预设安全规则对所述用户请求进行攻击检测,并将攻击检测结果返回至所述目标控制设备;
拦截确定模块820,用于接收所述攻击检测结果,并根据所述攻击检测结果确定是否拦截所述用户请求;
请求发送模块830,用于若确定未拦截所述用户请求,将所述用户请求发送至所述业务服务设备,以使所述业务服务设备对所述用户请求进行处理。
本发明实施例还提供了一种电子设备,如图9所示,包括处理器91、通信接口92、存储器93和通信总线94,其中,处理器91,通信接口92,存储器93通过通信总线94完成相互间的通信,
存储器93,用于存放计算机程序;
处理器91,用于执行存储器93上所存放的程序时,实现如下步骤:
在接收到用户请求的情况下,将所述用户请求转发至所述WAF设备,其中,所述WAF设备根据预设安全规则对所述用户请求进行攻击检测,并将攻击检测结果返回至所述目标控制设备;接收所述攻击检测结果,并根据所述攻击检测结果确定是否拦截所述用户请求;若确定未拦截所述用户请求,将所述用户请求发送至所述业务服务设备,以使所述业务服务设备对所述用户请求进行处理。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种存储介质,该存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的请求处理方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的请求处理方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在存储介质中,或者从一个存储介质向另一个存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种请求处理系统,其特征在于,所述系统包括:目标控制设备、WAF设备以及业务服务设备,其中,所述目标控制设备与所述业务服务设备相连接,所述WAF设备作为旁路与所述目标控制设备相连接;
在所述目标控制设备接收到用户请求的情况下,所述目标控制设备将所述用户请求转发至所述WAF设备;
所述WAF设备根据预设安全规则对所述用户请求进行攻击检测,并将攻击检测结果返回至所述目标控制设备;
所述目标控制设备根据所述攻击检测结果确定是否拦截所述用户请求;
若所述目标控制设备确定未拦截所述用户请求,所述目标控制设备将所述用户请求发送至所述业务服务设备,以使所述业务服务设备对所述用户请求进行处理。
2.根据权利要求1所述的系统,其特征在于,所述目标控制设备根据所述攻击检测结果确定是否拦截所述用户请求,包括:
在预设时间段内所述目标控制设备判断是否接收到所述攻击检测结果;
在预设时间段内若所述目标控制设备接收到所述攻击检测结果,所述目标控制设备则根据所述攻击检测结果确定是否拦截所述用户请求。
3.根据权利要求2所述的系统,其特征在于,所述系统还包括:
在预设时间段内若所述目标控制设备未接收到所述攻击检测结果,所述目标控制设备则确定所述WAF设备攻击检测超时,并将所述用户请求直接发送至所述业务服务设备。
4.根据权利要求1所述的系统,其特征在于,所述系统还包括:
若所述目标控制设备确定拦截所述用户请求,所述目标控制设备构建自定义响应消息;
所述目标控制设备将所述自定义响应消息反馈至所述用户请求的发送方。
5.根据权利要求1所述的系统,其特征在于,所述在所述目标控制设备接收到用户请求的情况下,所述目标控制设备将所述用户请求转发至所述WAF设备,包括:
在所述目标控制设备接收到用户请求的情况下,所述目标控制设备获取本地系统配置信息;
所述目标控制设备根据所述系统配置信息确定是否开启WAF;
若所述目标控制设备确定开启WAF,所述目标控制设备将所述用户请求转发至所述WAF设备;
若所述目标控制设备确定未开启WAF,所述目标控制设备将所述用户请求直接发送至所述业务服务设备。
6.根据权利要求1至5任一项所述的系统,其特征在于,所述系统还包括负载均衡设备,以及所述控制设备为多台,其中,多台所述控制设备均与所述负载均衡设备相连接;
所述在所述目标控制设备接收到用户请求的情况下,所述目标控制设备将所述用户请求转发至所述WAF设备,包括:
在所述负载均衡设备接收到用户请求的情况下,所述负载均衡设备根据负载均衡算法从多台所述控制设备中确定控制所述用户请求的目标控制设备;
所述负载均衡设备将所述用户请求发送至所述目标控制设备;
在所述目标控制设备接收到所述用户请求的情况下,所述目标控制设备将所述用户请求转发至所述WAF设备。
7.根据权利要求6所述的系统,其特征在于,多台所述控制设备对应于所述WAF设备,与所述WAF设备分别相连接;
或者,
所述WAF设备为多台,多台所述控制设备对应于多台所述WAF设备,所述控制设备与所述WAF设备一一对应相连接;
所述在所述目标控制设备接收到用户请求的情况下,所述目标控制设备将所述用户请求转发至所述WAF设备,包括:
在所述目标控制设备接收到用户请求的情况下,所述目标控制设备将所述用户请求转发至所述目标控制设备对应的所述WAF设备。
8.一种请求处理方法,其特征在于,应用于目标控制设备,其中,所述目标控制设备与业务服务设备相连接,WAF设备作为旁路与所述目标控制设备相连接,所述方法包括:
在接收到用户请求的情况下,将所述用户请求转发至所述WAF设备,其中,所述WAF设备根据预设安全规则对所述用户请求进行攻击检测,并将攻击检测结果返回至所述目标控制设备;
接收所述攻击检测结果,并根据所述攻击检测结果确定是否拦截所述用户请求;
若确定未拦截所述用户请求,将所述用户请求发送至所述业务服务设备,以使所述业务服务设备对所述用户请求进行处理。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求8中所述的方法步骤。
10.一种存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求8中所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010832191.3A CN114157441A (zh) | 2020-08-18 | 2020-08-18 | 请求处理系统、方法、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010832191.3A CN114157441A (zh) | 2020-08-18 | 2020-08-18 | 请求处理系统、方法、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114157441A true CN114157441A (zh) | 2022-03-08 |
Family
ID=80460470
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010832191.3A Pending CN114157441A (zh) | 2020-08-18 | 2020-08-18 | 请求处理系统、方法、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114157441A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070299984A1 (en) * | 2006-06-23 | 2007-12-27 | Patrick Roy | Application firewall validation bypass for impromptu components |
JP2010026547A (ja) * | 2008-07-15 | 2010-02-04 | Fujitsu Ltd | ファイアウォール負荷分散方法及びファイアウォール負荷分散システム |
CN108965348A (zh) * | 2018-10-12 | 2018-12-07 | 深圳前海微众银行股份有限公司 | 网络安全防护方法、设备及计算机可读存储介质 |
CN109167792A (zh) * | 2018-09-19 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种基于Nginx的新型WAF设计方法 |
CN109905410A (zh) * | 2019-04-17 | 2019-06-18 | 北京搜狐新媒体信息技术有限公司 | Web应用安全防护方法与Web应用防火墙系统 |
-
2020
- 2020-08-18 CN CN202010832191.3A patent/CN114157441A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070299984A1 (en) * | 2006-06-23 | 2007-12-27 | Patrick Roy | Application firewall validation bypass for impromptu components |
JP2010026547A (ja) * | 2008-07-15 | 2010-02-04 | Fujitsu Ltd | ファイアウォール負荷分散方法及びファイアウォール負荷分散システム |
CN109167792A (zh) * | 2018-09-19 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种基于Nginx的新型WAF设计方法 |
CN108965348A (zh) * | 2018-10-12 | 2018-12-07 | 深圳前海微众银行股份有限公司 | 网络安全防护方法、设备及计算机可读存储介质 |
CN109905410A (zh) * | 2019-04-17 | 2019-06-18 | 北京搜狐新媒体信息技术有限公司 | Web应用安全防护方法与Web应用防火墙系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11991205B2 (en) | Detection and mitigation of slow application layer DDoS attacks | |
US9432389B1 (en) | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object | |
US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
US10097520B2 (en) | Method and apparatus for causing delay in processing requests for internet resources received from client devices | |
US10187422B2 (en) | Mitigation of computer network attacks | |
JP5886422B2 (ja) | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 | |
US11831420B2 (en) | Network application firewall | |
US8561188B1 (en) | Command and control channel detection with query string signature | |
CN110519265B (zh) | 一种防御攻击的方法及装置 | |
WO2021169293A1 (zh) | 攻击行为检测方法、装置及攻击检测设备 | |
US11128649B1 (en) | Systems and methods for detecting and responding to anomalous messaging and compromised accounts | |
CN110545277B (zh) | 应用于安全系统的风险处理方法、装置、计算设备、介质 | |
US10218805B2 (en) | Method and apparatus for causing delay in processing requests for internet resources received from client devices | |
CN117376032B (zh) | 安全服务调度方法和系统、电子设备、存储介质 | |
CN109347810B (zh) | 一种处理报文的方法和装置 | |
JP2019152912A (ja) | 不正通信対処システム及び方法 | |
US20200374297A1 (en) | Identifying malicious client network applications based on network request characteristics | |
CN114157441A (zh) | 请求处理系统、方法、电子设备及存储介质 | |
US11636198B1 (en) | System and method for cybersecurity analyzer update and concurrent management system | |
US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
KR20210066432A (ko) | 이름 데이터 네트워킹(ndn) 에서 인터레스트 플러딩 공격, 검출 방법 및 방어 방법 | |
CN117240623B (zh) | 一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 | |
CN114666129B (zh) | 网络安全认证方法、系统、计算机设备、存储介质 | |
JP2005229234A (ja) | ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム | |
US20230141028A1 (en) | Traffic control server and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |