CN114465744A - 一种安全访问方法及网络防火墙系统 - Google Patents
一种安全访问方法及网络防火墙系统 Download PDFInfo
- Publication number
- CN114465744A CN114465744A CN202111083110.5A CN202111083110A CN114465744A CN 114465744 A CN114465744 A CN 114465744A CN 202111083110 A CN202111083110 A CN 202111083110A CN 114465744 A CN114465744 A CN 114465744A
- Authority
- CN
- China
- Prior art keywords
- request information
- protocol
- firewall
- module
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000006243 chemical reaction Methods 0.000 claims abstract description 43
- 230000005540 biological transmission Effects 0.000 claims abstract description 26
- 238000004891 communication Methods 0.000 claims description 10
- 230000000903 blocking effect Effects 0.000 claims description 8
- 239000003795 chemical substances by application Substances 0.000 description 11
- 239000008186 active pharmaceutical agent Substances 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000011109 contamination Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种安全访问方法及网络防火墙系统,包括:接收客户端通过不同网络传输协议发送的第一请求信息;解析第一请求信息,并判断第一请求信息的协议类型与服务类型是否相同;根据第一请求信息的协议类型选择并执行协议转换方法,得到与服务类型相同的第二请求信息;解析第二请求信息,并转发至防火墙模块进行处理,根据防火墙规则判断是否允许第二请求信息访问服务器端。本发明拓展了网络防火墙处理不同传输协议的适用范围,以满足更多云环境场景下数据传输的安全性需求。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种安全访问方法及网络防火墙系统。
背景技术
Web应用防火墙(Web Application Firewall,WAF)用于处理传统防火墙无法解决的Web应用安全问题。企业通过WAF对网站进行云安全防护,例如防止跨站脚本攻击、SQL注入防护、缓冲区溢出攻击防护、Web入侵防护、域名系统(Domain Name System,DNS)防护、WEB网络层拒绝服务攻击(Distributed Denial of Service,DDoS)防护、WEB应用层拒绝服务攻击(Challenge Collapsar,CC)防护等。
相比较于工作在网络层的传统防火墙,WAF工作在应用层,通过对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断或者发送警告。相比处理客户端与服务器端连接请求程序的代理防火墙,WAF的处理速度更快。
综上,现有的Web应用防火墙(WAF)相比较于传统防火墙具有安全性高、速度快的优势,但其也存在适用范围狭窄的缺点,具体包括:
(1)云环境下通常存在多种不同的传输协议,而WAF只能检测和处理以Http传输协议传输的数据;
(2)攻击者可以通过构造非Http协议或者利用Http协议解析中的不一致进行攻击;Http协议解析不一致是指,某些攻击数据包被WAF认为并非Http协议内容,不对其进行检测,而服务器端应用对协议存在一定的容错性,导致攻击数据包仍被认为是Http协议内容,
在应用端被解析后造成攻击。
因此,WAF的现有技术中存在上述亟待本领域技术人员解决的技术问题。
发明内容
为解决上述WAF适用范围狭窄的缺陷,本发明提供了一种安全访问方法及网络防火墙系统,其目的在于能够在云环境下适配不同的传输协议,并保证数据传输的安全性。
为了实现上述目的,本发明采用的一种技术方案是:一种安全访问方法,所述方法用于控制至少一个客户端与服务器端的通信,包括:接收所述客户端通过不同网络传输协议发送的第一请求信息;解析所述第一请求信息,并判断所述第一请求信息的协议类型与服务类型是否相同;根据所述第一请求信息的协议类型选择并执行协议转换方法,得到与所述服务类型相同的第二请求信息;解析所述第二请求信息,并转发至防火墙模块,根据防火墙规则判断是否允许所述第二请求信息访问所述服务器端;若允许所述第二请求信息访问,则返回访问结果;否则发送阻断命令和/或警告。
在优选实施例中,所述根据所述第一请求信息的协议类型选择并执行协议转换方法,得到与所述服务类型相同的第二请求信息包括:若所述第一请求信息的协议类型与服务类型不相同,则将所述第一请求信息转换为与所述服务类型相同的所述第二请求信息;若所述第一请求信息的类型与服务类型相同,则将所述第一请求信息直接作为所述第二请求信息。
在优选实施例中,所述服务类型为Http请求,所述第二请求信息按照key-value对的形式进行缓存。
在优选实施例中,所述第一请求信息至少包括:根据Http协议发送的请求信息、或根据Https协议发送的请求信息、或根据Http1.0协议发送的请求信息、或根据Http2.0协议发送的请求信息、或根据Web Socket协议发送的请求信息。
为了实现上述目的,本发明采用的另一种技术方案是:一种安全访问装置,所述装置用于控制至少一个客户端与服务器端的通信,包括:网关模块,用于接收所述客户端通过不同网络传输协议发送的第一请求信息;以及解析所述第一请求信息,并判断所述第一请求信息的协议类型与服务类型是否相同;协议转换模块,用于根据所述第一请求信息的协议类型选择并执行协议转换方法,得到与所述服务类型相同的第二请求信息;防火墙模块,用于根据防火墙规则判断是否允许所述第二请求信息访问所述服务器端;若允许所述第二请求信息访问,则返回访问结果;否则发送阻断命令和/或警告。
在优选实施例中,所述协议转换模块用于若所述第一请求信息的协议类型与服务类型不相同,则将所述第一请求信息转换为与所述服务类型相同的所述第二请求信息;若所述第一请求信息的协议类型与服务类型相同,则将所述第一请求信息直接作为所述第二请求信息。
为了实现上述目的,本发明采用的另一种技术方案是:一种网络防火墙系统,所述网络防火墙系统能够实现上述的任一项方法。
在优选实施例中,所述网络防火墙系统至少包括网关和防火墙模块;其中,所述网关包括网关模块和协议转换模块,所述网关模块用于接收所述客户端通过不同网络传输协议发送的第一请求信息;以及解析所述第一请求信息,并判断所述第一请求信息的协议类型与服务类型是否相同,所述协议转换模块用于根据所述第一请求信息的协议类型选择并执行协议转换方法,得到与所述服务类型相同的第二请求信息;其中,所述防火墙模块用于根据防火墙规则判断是否允许所述第二请求信息访问所述服务器端;若允许所述第二请求信息访问,则返回访问结果;否则发送阻断命令和/或警告。
在优选实施例中,所述网络防火墙系统包括代理模块,所述代理模块用于解析协议转换模块转换的第二请求信息,并调用防火墙模块根据所述防火墙规则对所述第二请求信息进行判断。
在优选实施例中,所述网关为API网关,所述防火墙模块为Web应用防火墙(WAF)。
与现有技术相比,本发明的优点在于:(1)拓展了WAF处理不同传输协议的适用范围,以满足更多云环境场景下数据传输安全性的需求;(2)避免了利用非Http协议或者利用Http协议解析中的不一致进行攻击的安全性问题;(3)已有技术方案通过预定义标识形成转换规则或转换模板,用于转换配置文件格式、转换数据包中的报文数据格式,其转换能力依靠领域的先验知识和手工预定义,存在僵化和不灵活的问题。不同于已有技术,本发明通过协议转换模块集成针对多种协议的转换方法,灵活实现协议的互相转换。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1:为本发明一个实施例提供的一种安全访问方法的流程图;
图2:为本发明另一个实施例提供的一种安全访问方法的流程图;
图3:为本发明另一个实施例提供的一种网络防火墙系统的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明实施例中所使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”、“第二”仅为了表述的方便,不应理解为对本发明的限定,后续实施例对此不再一一说明。
在云环境下,客户端会根据不同的服务类型向服务器端发送多种类型的数据请求,该多种类型的数据请求为根据多种网络传输协议发送的数据请求,本发明统称为第一请求信息。本发明的较佳实施例的实施思路是,将多种类型的第一请求信息转换为同一类型,以便防火墙模块识别并处理。防火墙模块接收的请求信息统称为第二请求信息。为避免疑义,本发明所述的服务类型指防火墙模块能够处理的网络传输协议中的一种或多种。
本发明提供了一种安全访问方法及网络防火墙系统,是针对现有技术,尤其是Web应用防火墙技术中,因适用范围窄而导致的安全性漏洞的技术问题而提出的。Web应用防火墙对Web应用流量进行全部层面的监管,然而,在云环境下,应用层将存在通过多种不同传输协议通信的数据,现有的Web应用防火墙技术仅能对某一种传输协议进行检测,显然不能满足服务器端对安全性的需求。
而本发明的较佳实施例旨在解决上述技术问题,具体思路是在服务器端加入协议转换模块,这样无需更改服务器端防火墙的安全管控方法或客户端的通信方式即可实现对通过多种不同传输协议通信的数据进行安全管控。具体运用时,可以根据实际的服务类型及客户端与服务器端的通信方式进行调整,继而更加灵活地解决前述技术问题。
本发明的较佳实施例,是基于至少一个客户端与至少一个服务器端进行网络通信。其中,本发明的实施例中所述的客户端可以为Web应用的终端。基于该客户端,用户可以访问服务器端提供的相应数据和服务。
实施例一
如图1所示,本发明一个实施例提供了一种安全访问方法,本实施例中的安全访问方法可以包括以下步骤。
S101:接收客户端通过不同网络传输协议发送的第一请求信息。
服务器端接收第一请求信息。具体而言,第一请求信息可以为客户端根据其所需要的服务而发送的请求信息,该请求信息可以是依据不同类型的传输协议而发送,也即,第一请求信息至少包括报文头和报文体。
更具体地,服务器端包括接收第一请求信息的网关。在可选实施例中,网关可选为API网关,服务器端将API网关开放给客户端调用,从而使得服务器端可以适配依据不同传输协议发送的数据请求,包括第一请求信息。
S102:解析第一请求信息,并判断第一请求信息的协议类型与服务类型是否相同。
服务器端解析第一请求信息,并判断第一请求信息的协议类型与服务类型是否相同。具体而言,服务器端解析第一请求信息并进行判断,若第一请求信息的协议类型与服务类型不相同,如步骤S103所述,将第一请求信息转换为与服务类型相同的第二请求信息,并转发防火墙模块;若第一请求信息的协议类型与服务类型相同,将第一请求信息直接作为第二请求信息直接转发防火墙模块。
在可选实施例中,服务器端可选包括协议转换模块。第一请求信息可选为依据多种传输协议传输的请求,包括但不限于Http1.0、Http2.0、Https、Websocket等传输协议。在可选实施例中,服务器端通过解析第一请求信息的报文头识别该第一请求信息的协议类型。在可选实施例中,服务类型可选为方便进行安全性判断的数据请求类型,例如市面上常用的Web应用防火墙(WAF)可以实现在应用层检查Http类型的数据请求。
S103:根据第一请求信息的协议类型选择并执行协议转换方法,得到与服务类型相同的第二请求信息。
具体地,在本实施例中,以Http类型作为服务类型为例,若服务器端根据第一请求信息的报文头获取的协议类型不是Http类型,则服务器端根据第一请求信息的协议类型选择对应的协议转换方法对第一请求信息进行协议转换,并将协议转换得到的第二请求信息转发至防火墙模块;若服务器端获取的第一请求信息的协议类型是Http类型,则将第一请求信息(也即第二请求信息)直接转发至防火墙模块。
不作为对本发明限制地,本实施例以Https和Websocket作为第一数据请求的协议类型、以Http类型的数据请求作为服务类型进行具体说明。具体地,服务器端接收到根据Https或Websocket传输协议类型传输的第一数据请求,判断该第一数据请求的协议类型均不是Http类型,则根据第一数据请求的协议类型选择执行以下(1)或(2)所述的协议转换方法。在可选实施例中,服务器端可以根据实际需要,集成更多的协议转换方法,例如将Http1.0协议或Http2.0协议转换为Http协议的协议转换方法。
(1)将Https协议转换为Http协议
在可选实施例中,服务器端通过秘钥和证书对Https协议进行认证和解密,并将根据Https协议传输的数据转换为Http协议形式的数据。在可选实施例中,协议转换包括:设置SSL证书位置以及设置私钥位置,以完成SSL证书配置;通过SSL服务以及修改代理服务配置文件,实现Https转换为Http。
(2)Websocket协议转换为Http协议
在可选实施例中,将Websocket协议转换为Http协议包括以下步骤:建立客户端与服务器端的Tcp连接,服务器端发送请求数据以使得客户端进行报文请求,服务器端接收响应数据进行报文响应,关闭Tcp连接并从接收数据中提取有效信息。
具体地,客户端与服务器端建立Tcp连接后,服务器端构建Http请求并发送,然后接收客户端的Http响应。在可选实施例中,服务器端将接收的Http响应信息放到buf缓存中,并解析Http响应信息获得报文的正文。将解析结果作为报文体,加上Http报文头以转换形成新的Http数据请求。
S104:将第二请求信息转发至防火墙模块,并根据防火墙规则判断是否允许第二请求信息访问服务器端。
具体地,将第二请求信息(即Http请求信息)转发至防火墙模块后,防火墙模块通过其设定的防火墙规则对第二请求信息进行分析和过滤,防火墙规则为预先设定的安全管控策略。如果根据防火墙规则,不允许第二请求信息对服务器端进行访问,则通过阻断命令拦截第二请求信息,或者发送警告信息;其中,在可选实施例中,防火墙可选向服务器端的管理员或服务器端发送警告信息,以提示管理员需要进行人工判断。如果根据防火墙规则,允许第二请求信息对服务器端进行访问,则将第二请求信息发送至服务器端以执行相应操作,并将执行结果返回给客户端。
在可选实施例中,服务器端将转换得到的Http请求信息(即第二请求信息)按照key-value对的形式进行缓存。其中,key对应第一请求信息中的数据编号,value包含第一请求信息中的报文信息,如报文头和/或报文体信息。具体地,防火墙模块对该第二请求信息进行处理。其中,防火墙模块可以对报文头和报文体信息进行分析,例如分析报文头的“Content-Length”和/或“Transfer-Encoding”信息,以判断第二请求信息中的报文头信息(即对应第一请求信息的报文头)是否存在异常等。另外,防火墙模块可以根据数据编号将第二请求信息中的报文信息与第一请求信息进行对应还原。
在可选实施例中,第二请求信息可由透明代理服务器初步解析,并通过防火墙模块分析安全性后,向客户端返回处理结果。该可选实施例通过增加透明代理的方式增加了访问安全性,客户端实际是请求的服务器端数据,但逻辑上是通过访问透明代理来获得请求结果,而不是直接访问服务器端。
在可选实施例中,透明代理服务器可以根据用户级别对防火墙模块进行配置,用户仅仅将所需要的服务类型、安全级别等信息通过管理界面进行设置。透明代理服务器根据用户级别决定数据传输、信息交换的安全级别,并相应配置防火墙模块。在可选实施例中,透明代理服务器还可以包括内容过滤技术,对接收的数据包进行内容过滤以实现更高的安全级别。内容过滤技术主要在网络层实现,其可以针对制定的规则库,实现IP封杀、IP与MAC绑定等技术,提高系统的安全性和效率。
实施例二
进一步地,如图2所示,本发明另一个实施例提供了一种安全访问方法,本实施例中的安全访问方法以Http作为服务类型为例,即防火墙模块仅对Http类型的请求信息进行处理。具体地,本实施例可以包括以下步骤。
S201:配置代理模块与防火墙模块,并建立通信。
具体地,本实施例通过代理模块获取/拦截经由服务器端网关传输的请求信息,并调用防火墙模块进行分析和过滤。因此,在进行安全访问之前,需要分别配置代理模块与防火墙模块,并建立通信。
在可选实施例中,代理模块可选为Nginx代理,防火墙模块可选为ModSecurity模块。系统启动后,配置代理模块与防火墙模块,并建立通信,具体包括(1)Nginx代理初始化解析配置文件,用于对接收的Http类型的请求信息进行解析;(2)Nginx代理调用插件配置文件,用于实现调用防火墙模块,并与防火墙模块进行通信;(3)ModSecurity模块配置指示文件,用于解析防火墙规则,并将解析的防火墙规则存储,存储方式可选为哈希表存储。防火墙规则为预先设定的安全管控策略。
S202:代理模块接收服务器端网关发送的Http请求信息,并对Http请求信息进行解析。
具体地,服务器网关用于接收由客户端发送的各种类型的请求信息(即第一请求信息),同时,服务器网关包括协议转换模块,用于将第一请求信息转换为Http请求信息(即第二请求信息)。代理模块对第二请求信息进行解析,并调用防火墙模块。
在可选实施例中,Nginx代理对Http请求信息初步解析后,将解析后的信息以key-value对的形式进行存储,并调用ModSecurity模块进行安全性分析。
S203:防火墙模块根据防火墙规则对解析后的Http请求信息进行匹配,并根据匹配结果执行操作。
具体地,防火墙模块根据代理模块解析的Http请求信息与防火墙规则进行匹配,并根据匹配结果选择拦截或放行该请求信息。
在可选实施例中,Nginx代理解析的Http请求信息,以获取Http请求信息的报文信息,例如报文头和报文体信息。ModSecurity模块将该报文信息与其存储的防火墙规则进行匹配,该防火墙规则可选存储于哈希表中。在可选实施例中,防火墙规则至少包括OWASP规则,根据该OWASP规则,防火墙模块可至少识别出Http参数污染攻击(HPP)、跨站请求伪造攻击(CSRF)和SQL注入攻击等。
在可选实施例中,防火墙模块根据匹配结果可选执行的操作包括:(1)识别Http请求信息为恶意攻击,拦截该Http请求信息,以阻止其对服务器端的访问;(2)识别Http请求信息为安全的请求信息,放行该Http请求信息,即服务器端可以接收该Http请求信息,并执行相应的操作;(3)无法识别Http请求信息的安全性,发出警告信息,以通知管理员进行人工处理。
实施例三
如图3所示,本发明另一个实施例提供了一种网络防火墙系统,该系统可用于执行上述实施例一、实施例二及其可选实施例中的任一项安全访问方法。从而控制至少一个客户端与服务器端的通信。
具体地,网络防火墙系统至少包括网关301和防火墙模块302,其中,网关301包括网关模块和协议转换模块,网关模块用于接收客户端通过不同网络传输协议发送的第一请求信息;以及解析第一请求信息,并判断第一请求信息的协议类型与服务类型是否相同,协议转换模块用于根据第一请求信息的协议类型选择并执行协议转换方法,得到与服务类型相同的第二请求信息;其中,防火墙模块302用于根据防火墙规则判断是否允许第二请求信息访问所述服务器端;若允许第二请求信息访问,则返回访问结果;否则发送阻断命令和/或警告。
在可选实施例中,网关模块可选为API网关,也可选为其他可处理多种传输协议类型的网关。防火墙模块可选为Web应用防火墙(WAF),也可选为其他用于网络安全管理的防火墙。在可选实施例中,网络防火墙系统还包括代理模块,用于解析网关模块转换的第二请求信息,并调用防火墙模块根据防火墙规则对第二请求信息进行判断。
以上对本发明所提供的一种安全访问方法及网络防火墙系统进行了详尽介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,对本发明的变更和改进将是可能的,而不会超出附加权利要求所规定的构思和范围,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种安全访问方法,其特征在于,所述方法用于控制至少一个客户端与服务器端的通信,包括:
接收所述客户端通过不同网络传输协议发送的第一请求信息;
解析所述第一请求信息,并判断所述第一请求信息的协议类型与服务类型是否相同;
根据所述第一请求信息的协议类型选择并执行协议转换方法,得到与所述服务类型相同的第二请求信息;
解析所述第二请求信息,并转发至防火墙模块,根据防火墙规则判断是否允许所述第二请求信息访问所述服务器端;若允许所述第二请求信息访问,则返回访问结果;否则发送阻断命令和/或警告。
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一请求信息的协议类型选择并执行协议转换方法,得到与所述服务类型相同的第二请求信息包括:
若所述第一请求信息的协议类型与服务类型不相同,则将所述第一请求信息转换为与所述服务类型相同的所述第二请求信息;
若所述第一请求信息的协议类型与服务类型相同,则将所述第一请求信息直接作为所述第二请求信息。
3.根据权利要求2所述的方法,其特征在于,所述服务类型为Http请求,所述第二请求信息按照key-value对的形式进行缓存。
4.根据权利要求1-3所述的任一项方法,其特征在于,所述第一请求信息至少包括:根据Http协议发送的请求信息、或根据Https协议发送的请求信息、或根据Http1.0协议发送的请求信息、或根据Http2.0协议发送的请求信息、或根据Web Socket协议发送的请求信息。
5.一种安全访问装置,其特征在于,所述装置用于控制至少一个客户端与服务器端的通信,包括:
网关模块,用于接收所述客户端通过不同网络传输协议发送的第一请求信息;以及解析所述第一请求信息,并判断所述第一请求信息的协议类型与服务类型是否相同;
协议转换模块,用于根据所述第一请求信息的协议类型选择并执行协议转换方法,得到与所述服务类型相同的第二请求信息;
防火墙模块,用于根据防火墙规则判断是否允许所述第二请求信息访问所述服务器端;若允许所述第二请求信息访问,则返回访问结果;否则发送阻断命令和/或警告。
6.根据权利要求5所述的装置,其特征在于,所述协议转换模块用于若所述第一请求信息的协议类型与服务类型不相同,则将所述第一请求信息转换为与所述服务类型相同的所述第二请求信息;若所述第一请求信息的协议类型与服务类型相同,则将所述第一请求信息直接作为所述第二请求信息。
7.一种网络防火墙系统,其特征在于,所述网络防火墙系统能够实现权利要求1-4所述的任一项方法。
8.根据权利要求7所述的网络防火墙系统,其特征在于,所述网络防火墙系统至少包括网关和防火墙模块;
其中,所述网关包括网关模块和协议转换模块,所述网关模块用于接收所述客户端通过不同网络传输协议发送的第一请求信息;以及解析所述第一请求信息,并判断所述第一请求信息的协议类型与服务类型是否相同,所述协议转换模块用于根据所述第一请求信息的协议类型选择并执行协议转换方法,得到与所述服务类型相同的第二请求信息;
其中,所述防火墙模块用于根据防火墙规则判断是否允许所述第二请求信息访问所述服务器端;若允许所述第二请求信息访问,则返回访问结果;否则发送阻断命令和/或警告。
9.根据权利要求8所述的网络防火墙系统,其特征在于,所述网络防火墙系统包括代理模块,所述代理模块用于解析协议转换模块转换的第二请求信息,并调用防火墙模块根据所述防火墙规则对所述第二请求信息进行判断。
10.根据权利要求7-9所述的任一项网络防火墙系统,其特征在于,所述网关为API网关,所述防火墙模块为Web应用防火墙(WAF)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111083110.5A CN114465744A (zh) | 2021-09-15 | 2021-09-15 | 一种安全访问方法及网络防火墙系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111083110.5A CN114465744A (zh) | 2021-09-15 | 2021-09-15 | 一种安全访问方法及网络防火墙系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114465744A true CN114465744A (zh) | 2022-05-10 |
Family
ID=81405753
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111083110.5A Pending CN114465744A (zh) | 2021-09-15 | 2021-09-15 | 一种安全访问方法及网络防火墙系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114465744A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116582364A (zh) * | 2023-07-12 | 2023-08-11 | 苏州浪潮智能科技有限公司 | 数据访问方法、系统、装置、电子设备及可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105099821A (zh) * | 2015-07-30 | 2015-11-25 | 北京奇虎科技有限公司 | 基于云的虚拟环境下流量监控的方法和装置 |
| US20160285989A1 (en) * | 2015-03-24 | 2016-09-29 | Fortinet, Inc.. | Http proxy |
| CN106790073A (zh) * | 2016-12-21 | 2017-05-31 | 北京启明星辰信息安全技术有限公司 | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 |
| CN108737343A (zh) * | 2017-04-20 | 2018-11-02 | 苏宁云商集团股份有限公司 | 一种安全访问网络的实现方法及装置 |
| CN111385270A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 基于waf的网络攻击检测方法及装置 |
| EP3823241A1 (en) * | 2019-11-18 | 2021-05-19 | F5 Networks, Inc | Network application firewall |
-
2021
- 2021-09-15 CN CN202111083110.5A patent/CN114465744A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160285989A1 (en) * | 2015-03-24 | 2016-09-29 | Fortinet, Inc.. | Http proxy |
| CN105099821A (zh) * | 2015-07-30 | 2015-11-25 | 北京奇虎科技有限公司 | 基于云的虚拟环境下流量监控的方法和装置 |
| CN106790073A (zh) * | 2016-12-21 | 2017-05-31 | 北京启明星辰信息安全技术有限公司 | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 |
| CN108737343A (zh) * | 2017-04-20 | 2018-11-02 | 苏宁云商集团股份有限公司 | 一种安全访问网络的实现方法及装置 |
| CN111385270A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 基于waf的网络攻击检测方法及装置 |
| EP3823241A1 (en) * | 2019-11-18 | 2021-05-19 | F5 Networks, Inc | Network application firewall |
Non-Patent Citations (3)
| Title |
|---|
| 朱树人,李伟琴: "防火墙Http代理用户认证的实现技术", 计算机工程与应用, no. 06 * |
| 钱君生: "《网络空间安全技术丛书 API安全技术与实战》", 31 March 2021, 机械工业出版社, pages: 205 * |
| 陈国良;: "Web系统的网络安全分析及应对方式", 科技传播, no. 15 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116582364A (zh) * | 2023-07-12 | 2023-08-11 | 苏州浪潮智能科技有限公司 | 数据访问方法、系统、装置、电子设备及可读存储介质 |
| CN116582364B (zh) * | 2023-07-12 | 2023-10-03 | 苏州浪潮智能科技有限公司 | 数据访问方法、系统、装置、电子设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11496475B2 (en) | Methods and systems for data traffic based adaptive security | |
| US11271902B2 (en) | Methods and systems for efficient encrypted SNI filtering for cybersecurity applications | |
| US10003616B2 (en) | Destination domain extraction for secure protocols | |
| US8904532B2 (en) | Method, apparatus and system for detecting botnet | |
| EP2850770B1 (en) | Transport layer security traffic control using service name identification | |
| US8060927B2 (en) | Security state aware firewall | |
| RU2641233C2 (ru) | Способ, устройство и машиночитаемый носитель данных для зависящей от приложения фильтрации пакетов протокола передачи файлов | |
| CN106656648B (zh) | 基于家庭网关的应用流量动态保护方法、系统及家庭网关 | |
| CN115989661A (zh) | 保护移动网络中的控制和用户平面分离 | |
| KR101281160B1 (ko) | 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법 | |
| CN114390049A (zh) | 一种应用数据获取方法及装置 | |
| CN114465744A (zh) | 一种安全访问方法及网络防火墙系统 | |
| US20190273669A1 (en) | Dynamic and interactive control of a residential gateway connected to a communication network | |
| US11968237B2 (en) | IPsec load balancing in a session-aware load balanced cluster (SLBC) network device | |
| CN1581869A (zh) | 一种基于双重身份的多方通信方法 | |
| JP2006099590A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
| CN116743868A (zh) | 业务请求的处理方法、存储介质及电子设备 | |
| Arafat et al. | Study on security issue in open source SIP server | |
| CN114363083B (zh) | 智能网关的安全防范方法、装置、设备 | |
| US12052219B2 (en) | Chassis system management through data paths | |
| KR102642602B1 (ko) | 프로세스 정보를 사용한 dns 보안을 제공하는 방법 및 시스템 | |
| KR101231801B1 (ko) | 네트워크 상의 응용 계층 보호 방법 및 장치 | |
| KR20100027829A (ko) | 가상 프록시 서버를 이용한 에스아이피 공격탐지 시스템 및방법 | |
| CN115603994A (zh) | 一种可信通信方法、装置、设备及存储介质 | |
| Jia | Campus Network Security Program Based on Snort Network Security Intrusion Detection System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220510 |