CN115529164A - 一种waf旁路部署系统和方法 - Google Patents

一种waf旁路部署系统和方法 Download PDF

Info

Publication number
CN115529164A
CN115529164A CN202211045771.3A CN202211045771A CN115529164A CN 115529164 A CN115529164 A CN 115529164A CN 202211045771 A CN202211045771 A CN 202211045771A CN 115529164 A CN115529164 A CN 115529164A
Authority
CN
China
Prior art keywords
waf
detection
connector
request message
detection result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211045771.3A
Other languages
English (en)
Inventor
张贤义
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CLP Cloud Digital Intelligence Technology Co Ltd
Original Assignee
CLP Cloud Digital Intelligence Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CLP Cloud Digital Intelligence Technology Co Ltd filed Critical CLP Cloud Digital Intelligence Technology Co Ltd
Priority to CN202211045771.3A priority Critical patent/CN115529164A/zh
Publication of CN115529164A publication Critical patent/CN115529164A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及WAF部署技术领域,提供一种WAF旁路部署系统和方法,本发明的系统包括:客户端,用于向LB/Connector发送请求报文或接收LB/Connector返回的应答报文;LB/Connector,用于主动与WAF建立TCP长连接,从WAF获取每个域名的检测配置,根据域名的检测配置将接收的请求报文或应答报文直接转发放行或发送至WAF,并根据收到检测结果的时间及检测结果,对请求报文或应答报文进行拦截或放行;WAF,用于为检测引擎编译域名检测配置的检测规则集,对接收的请求报文或应答报文进行检测,将检测结果返回至LB/Connector;源站,用于接收请求报文后将应答报文发送至LB/Connector。根据本发明示例性实施例的WAF旁路部署系统和方法,可以降低资源占用,提高处理效率,提高转发安全性,且可适用于多种用户场景。

Description

一种WAF旁路部署系统和方法
技术领域
本发明涉及WAF部署技术领域,尤其涉及一种WAF旁路部署系统和方法。
背景技术
云上WAF当前有SaaS型WAF和负载均衡型WAF两种。其中负载均衡型WAF是通过配置域名和云厂商的七层负载均衡(监听器)集群进行联动,对经过负载均衡的HTTP/HTTPS流量进行旁路威胁检测和清洗,实现业务转发和安全防护分离。这种场景下,LB需要将整个流量镜像到WAF集群,并等待WAF集群反馈可信状态来决定放行还是拦截。在实际应用中,以上方式存在以下不足:1.负载均衡型的WAF,如果LB将所有流量都镜像到WAF集群的处理方式,会给WAF系统带来巨大的压力,且从用户的角度,可能也并不需要WAF处理所有域名的流量,需要防护的源站也不是所有的报文负载都需要检测;2.当WAF集群出现问题时,会影响业务转发。
因此,如何提供一种只将用户需要的流量交给WAF集群处理,并能在WAF集群故障时不影响业务正常转发的方法,成为亟待解决的技术问题。
发明内容
有鉴于此,为了克服现有技术的不足,本发明通过精确提取流量中需要检测的报文范围并通过兼顾大流量和WAF检测的动态超时机制设置,提供一种WAF旁路部署系统,提高的WAF旁路部署的效率和独立性。
一方面,本发明提供一种WAF旁路部署系统,包括:
客户端,用于向LB/Connector发送请求报文或接收LB/Connector返回的应答报文;
LB/Connector,用于主动与WAF建立TCP长连接,从WAF获取每个域名的检测配置,根据域名的检测配置将接收的请求报文或应答报文直接转发放行或发送至WAF,并根据收到检测结果的时间及检测结果,对请求报文或应答报文进行拦截或放行;
WAF,用于为检测引擎编译域名检测配置的检测规则集,对接收的请求报文或应答报文进行检测,将检测结果返回至LB/Connector;
源站,用于接收请求报文后将应答报文发送至LB/Connector。
进一步地,本发明的WAF旁路部署系统中,LB/Connector用于:收到请求报文或应答报文后生成连接标识,从请求报文中提取域名,根据从WAF获取的域名的检测配置确定需要进行检测的域名,根据对应的域名检测配置从需要进行域名检测的报文中提取对应位置的待检测字段,将连接标识和待检测字段以私有协议的形式封装后发送到WAF,并采用OpenResty提供的协程套接字对应的API接口设置超时机制;将不需要进行域名检测的请求报文直接放行至源站。
进一步地,本发明的WAF旁路部署系统中,LB/Connector还用于:如果在超时前收到请求报文的检测结果,根据检测结果将请求报文放行至源站或对请求报文进行拦截;如果在超时前未收到检测结果,将请求报文放行至源站;如果在超时前收到应答报文的检测结果,根据检测结果将应答报文放行至客户端或对请求报文进行拦截;如果在超时前未收到检测结果,将应答报文放行至客户端。
进一步地,本发明的WAF旁路部署系统中,WAF用于:接收并解析封装后的私有协议,提取待检测的字段,使用检测引擎对待检测的字段进行检测,生成检测结果,将连接标识和检测结果以私有协议的形式封装后返回至LB/Connector。
进一步地,本发明的WAF旁路部署系统中,提取待检测的字段,包括:从封装后的私有协议中提取域名,根据不同域名将待检测字段对应不同的检测规则集。
6.根据权利要求4所述的WAF旁路部署系统,其特征在于,使用检测引擎对待检测的字段进行检测,生成检测结果,包括:检测引擎通过匹配规则对待检测的字段进行匹配,根据匹配到的攻击特征返回对应的规则ID匹配集,将返回的规则ID匹配集与域名配置的检测规则集合进行相与,生成规则结果集,并为每个匹配规则生成对应的攻击日志。
另一方面,本发明提供一种WAF旁路部署方法,包括:
步骤S1:通过客户端向LB/Connector发送请求报文;
步骤S2:通过LB/Connector从WAF获取每个域名的检测配置,根据域名的检测配置将需要进行域名检测的请求报文发送至WAF;
步骤S3:WAF对接收的请求报文进行检测,将检测结果返回至LB/Connector;
步骤S4:LB/Connector根据收到检测结果的时间及检测结果,将请求报文放行至源站或对请求报文进行拦截;
步骤S5:源站接收请求报文后将应答报文返回至客户端。
进一步地,本发明方法的步骤S2,包括
步骤S21:LB/Connector收到请求报文后生成连接标识;
步骤S22:LB/Connector从请求报文中提取域名,根据从WAF获取的域名的检测配置确定需要进行检测的域名;
步骤S23:LB/Connector根据对应的域名检测配置从需要进行域名检测的报文中提取对应位置的待检测字段;
步骤S24:LB/Connector将连接标识和待检测字段以私有协议的形式封装后发送到WAF,设置超时机制。
进一步地,本发明方法的步骤S23中,采用OpenResty提供的协程套接字对应的API接口设置超时机制。
进一步地,本发明方法的步骤S2还包括:通过LB/Connector从WAF获取每个域名的检测配置,根据域名的检测配置将不需要进行域名检测的请求报文直接放行至源站。
进一步地,本发明方法的步骤S3,包括:
步骤S31:WAF接收并解析封装后的私有协议,提取待检测的字段;
步骤S32:WAF使用检测引擎对待检测的字段进行检测,生成检测结果;
步骤S33:WAF将连接标识和检测结果以私有协议的形式封装后返回至LB/Connector。
进一步地,本发明方法的步骤S31中,提取待检测的字段,包括:先从封装后的私有协议中提取域名,根据不同域名将待检测字段对应不同的检测规则集。
进一步地,本发明方法的步骤S32,包括:
步骤S321:检测引擎通过匹配规则对待检测的字段进行匹配;
步骤S322:根据匹配到的攻击特征返回对应的规则ID匹配集;
步骤S323:将返回的规则ID匹配集与域名配置的检测规则集合进行相与,生成规则结果集,并为每个匹配规则生成对应的攻击日志。
进一步地,本发明方法的步骤S4,包括:如果LB/Connector在超时前收到检测结果,根据检测结果将请求报文放行至源站或对请求报文进行拦截;如果LB/Connector在超时前未收到检测结果,将请求报文放行至源站。
进一步地,本发明方法的步骤S5,包括:
步骤S51:源站接收请求报文后将应答报文发送至LB/Connector;
步骤S52:LB/Connector将接收的应答报文发送至WAF;
步骤S53:WAF对接收的应答报文进行检测,将检测结果返回至LB/Connector;
步骤S54:LB/Connector根据收到检测结果的时间及检测结果,将应答报文放行至客户端或对应答报文进行拦截。
本发明WAF旁路部署系统和方法,具有以下有益效果:
1.降低资源占用,提高处理效率。WAF不需要检查流量中的所有报文,避免将所有流量都镜像到WAF集群造成的系统压力过大;LB/Connector可以灵活设置检测的时机和内容,如为不同的源站设置每个连接的检测报文数,需要提取的字段等;还可以将多个请求合并发送,减少交互次数。
2.提高转发安全性。当WAF集群出现问题时,通过LB/Connector的等待WAF反馈可信结果的超时机制,可以保障不影响业务转发。LB/Connector可以根据请求的业务量如QPS来动态调整等待WAF反馈可信结果的超时时间,如在大流量场景需要兼顾WAF检测,可适当调大超时时间,牺牲部分用户体验保证源站在大流量访问时仍能被安全防护。
3.可适用于多种场景。LB/Connector和WAF可以根据业务需要集群部署,做到动态弹性缩容扩容满足用户场景;Connector还可以根据业务需要部署在其它场景,如云下场景,即不需要和LB强绑定。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明示例性第一实施例一种WAF旁路部署系统的架构图。
图2为本发明示例性第二实施例一种WAF旁路部署方法的流程图。
图3为本发明示例性第三实施例一种WAF旁路部署方法的流程图。
图4为本发明示例性第四实施例一种WAF旁路部署方法的流程图。
图5为本发明示例性第四实施例一种WAF旁路部署方法步骤S32的流程图。
图6为本发明示例性第五实施例一种WAF旁路部署方法的流程图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
以下各实施例中涉及的名词解释如下:
WAF:Web应用防火墙(Web Application Firewall),通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
LB:负载均衡(load balance),提供一种安全、稳定、可弹性扩展的流量分发服务。
Connector:部署在负载均衡上用于和WAF配合使用,将LB的流量转发给WAF处理。
OpenResty:一个基于Nginx与Lua的高性能Web平台,用于方便地搭建能够处理超高并发、扩展性极高的动态Web应用、Web服务和动态网关。
图1为根据本发明示例性第一实施例的一种WAF旁路部署系统的架构图,如图1所示,本实施例所述系统,包括:
客户端,用于向LB/Connector发送请求报文或接收LB/Connector返回的应答报文;
LB/Connector,用于主动与WAF建立TCP长连接,从WAF获取每个域名的检测配置,根据域名的检测配置将接收的请求报文或应答报文直接转发放行或发送至WAF,并根据收到检测结果的时间及检测结果,对请求报文或应答报文进行拦截或放行;
WAF,用于为检测引擎编译域名检测配置的检测规则集,对接收的请求报文或应答报文进行检测,将检测结果返回至LB/Connector;
源站,用于接收请求报文后将应答报文发送至LB/Connector。
具体的,本实施例系统中的LB/Connector用于:收到请求报文或应答报文后生成连接标识,从请求报文中提取域名,根据从WAF获取的域名的检测配置确定需要进行检测的域名,根据对应的域名检测配置从需要进行域名检测的报文中提取对应位置的待检测字段,将连接标识和待检测字段以私有协议的形式封装后发送到WAF,并采用OpenResty提供的协程套接字对应的API接口设置超时机制;将不需要进行域名检测的请求报文直接放行至源站。
本实施例系统中的LB/Connector还用于:如果在超时前收到请求报文的检测结果,根据检测结果将请求报文放行至源站或对请求报文进行拦截;如果在超时前未收到检测结果,将请求报文放行至源站;如果在超时前收到应答报文的检测结果,根据检测结果将应答报文放行至客户端或对请求报文进行拦截;如果在超时前未收到检测结果,将应答报文放行至客户端。
在实际应用中,本实施例系统中的LB/Connector启动时,会主动和WAF建立TCP长连接,并主动从WAF获取每个域名的检测配置,包含每个连接的检测的最大报文数,待检测位置的集合。
本实施例系统中的WAF用于:接收并解析封装后的私有协议,提取待检测的字段,使用检测引擎对待检测的字段进行检测,生成检测结果,将连接标识和检测结果以私有协议的形式封装后返回至LB/Connector。在实际应用中,提取待检测的字段,包括:从封装后的私有协议中提取域名,根据不同域名将待检测字段对应不同的检测规则集。使用检测引擎对待检测的字段进行检测,生成检测结果,包括:检测引擎通过匹配规则对待检测的字段进行匹配,根据匹配到的攻击特征返回对应的规则ID匹配集,将返回的规则ID匹配集与域名配置的检测规则集合进行相与,生成规则结果集,并为每个匹配规则生成对应的攻击日志。
在实际应用中,本实施例系统的WAF在启动时,会将所有域名检测配置的检测规则集编译进检测引擎。本实施例系统的WAF对域名的检测配置进行统一管理。每个要防护的源站的设置包含:每个连接的检测的最大报文数,需要待检测规则的集合,每个检测规则定位了检测位置和待匹配的特征字符串,可以根据其生成此域名待检测位置的集合。当用户修改域名的配置后,WAF会将域名的最新配置推送至LB/Connector。
图2为根据本发明示例性第二实施例的一种WAF旁路部署方法的流程图,本实施例的方法,包括:
步骤S1:通过客户端向LB/Connector发送请求报文;
步骤S2:通过LB/Connector从WAF获取每个域名的检测配置,根据域名的检测配置将需要进行域名检测的请求报文发送至WAF;
步骤S3:WAF对接收的请求报文进行检测,将检测结果返回至LB/Connector;
步骤S4:LB/Connector根据收到检测结果的时间及检测结果,将请求报文放行至源站或对请求报文进行拦截;
步骤S5:源站接收请求报文后将应答报文返回至客户端。
本实施例方法的步骤S2,还包括:通过LB/Connector从WAF获取每个域名的检测配置,根据域名的检测配置将不需要进行域名检测的请求报文直接放行至源站。
本实施例方法的步骤S4,包括:如果LB/Connector在超时前收到检测结果,根据检测结果将请求报文放行至源站或对请求报文进行拦截;如果LB/Connector在超时前未收到检测结果,将请求报文放行至源站。
图3为根据本发明示例性第三实施例的一种于云原生的WAF旁路部署方法的流程图,本实施例是图2所示方法的优选实施例,如图3所示,本实施例方法的步骤S2,包括:
步骤S21:LB/Connector收到请求报文后生成连接标识;
步骤S22:LB/Connector从请求报文中提取域名,根据从WAF获取的域名的检测配置确定需要进行检测的域名;
步骤S23:LB/Connector根据对应的域名检测配置从需要进行域名检测的报文中提取对应位置的待检测字段;
步骤S24:LB/Connector将连接标识和待检测字段以私有协议的形式封装后发送到WAF,设置超时机制。
本实施例方法的步骤S23中,采用OpenResty提供的协程套接字对应的API接口设置超时机制。
图4为根据本发明示例性第四实施例的一种WAF旁路部署方法的流程图,本实施例是图2所示方法的优选实施例,如图4所示,本实施例方法的步骤S3,包括:
步骤S31:WAF接收并解析封装后的私有协议,提取待检测的字段;
步骤S32:WAF使用检测引擎对待检测的字段进行检测,生成检测结果;
步骤S33:WAF将连接标识和检测结果以私有协议的形式封装后返回至LB/Connector。
本实施例方法的步骤S31中,提取待检测的字段,包括:从封装后的私有协议中提取域名,根据不同域名将待检测字段对应不同的检测规则集。
如图5所示,本实施例方法的步骤S32,包括:
步骤S321:检测引擎通过匹配规则对待检测的字段进行匹配;
步骤S322:根据匹配到的攻击特征返回对应的规则ID匹配集;
步骤S323:将返回的规则ID匹配集与域名配置的检测规则集合进行相与,生成规则结果集,并为每个匹配规则生成对应的攻击日志。
图6为为根据本发明示例性第五实施例的一种WAF旁路部署方法的流程图,本实施例是图2所示方法的优选实施例,如图5所示,实施例方法的步骤S5,包括:
步骤S51:源站接收请求报文后将应答报文发送至LB/Connector;
步骤S52:LB/Connector将接收的应答报文发送至WAF;
步骤S53:WAF对接收的应答报文进行检测,将检测结果返回至LB/Connector;
步骤S54:LB/Connector根据收到检测结果的时间及检测结果,将应答报文放行至客户端或对应答报文进行拦截。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (15)

1.一种WAF旁路部署系统,其特征在于,所述系统,包括:
客户端,用于向LB/Connector发送请求报文或接收LB/Connector返回的应答报文;
LB/Connector,用于主动与WAF建立TCP长连接,从WAF获取每个域名的检测配置,根据域名的检测配置将接收的请求报文或应答报文直接转发放行或发送至WAF,并根据收到检测结果的时间及检测结果,对请求报文或应答报文进行拦截或放行;
WAF,用于为检测引擎编译域名检测配置的检测规则集,对接收的请求报文或应答报文进行检测,将检测结果返回至LB/Connector;
源站,用于接收请求报文后将应答报文发送至LB/Connector。
2.根据权利要求1所述的WAF旁路部署系统,其特征在于,LB/Connector用于:收到请求报文或应答报文后生成连接标识,从请求报文中提取域名,根据从WAF获取的域名的检测配置确定需要进行检测的域名,根据对应的域名检测配置从需要进行域名检测的报文中提取对应位置的待检测字段,将连接标识和待检测字段以私有协议的形式封装后发送到WAF,并采用OpenResty提供的协程套接字对应的API接口设置超时机制;将不需要进行域名检测的请求报文直接放行至源站。
3.根据权利要求1所述的WAF旁路部署系统,其特征在于,LB/Connector还用于:如果在超时前收到请求报文的检测结果,根据检测结果将请求报文放行至源站或对请求报文进行拦截;如果在超时前未收到检测结果,将请求报文放行至源站;如果在超时前收到应答报文的检测结果,根据检测结果将应答报文放行至客户端或对请求报文进行拦截;如果在超时前未收到检测结果,将应答报文放行至客户端。
4.根据权利要求1所述的WAF旁路部署系统,其特征在于,WAF用于:接收并解析封装后的私有协议,提取待检测的字段,使用检测引擎对待检测的字段进行检测,生成检测结果,将连接标识和检测结果以私有协议的形式封装后返回至LB/Connector。
5.根据权利要求4所述的WAF旁路部署系统,其特征在于,提取待检测的字段,包括:从封装后的私有协议中提取域名,根据不同域名将待检测字段对应不同的检测规则集。
6.根据权利要求4所述的WAF旁路部署系统,其特征在于,使用检测引擎对待检测的字段进行检测,生成检测结果,包括:检测引擎通过匹配规则对待检测的字段进行匹配,根据匹配到的攻击特征返回对应的规则ID匹配集,将返回的规则ID匹配集与域名配置的检测规则集合进行相与,生成规则结果集,并为每个匹配规则生成对应的攻击日志。
7.一种基于权利要求1-6任一所述的系统的WAF旁路部署方法,其特征在于,所述方法,包括:
步骤S1:通过客户端向LB/Connector发送请求报文;
步骤S2:通过LB/Connector从WAF获取每个域名的检测配置,根据域名的检测配置将需要进行域名检测的请求报文发送至WAF;
步骤S3:WAF对接收的请求报文进行检测,将检测结果返回至LB/Connector;
步骤S4:LB/Connector根据收到检测结果的时间及检测结果,将请求报文放行至源站或对请求报文进行拦截;
步骤S5:源站接收请求报文后将应答报文返回至客户端。
8.根据权利要求7所述的WAF旁路部署方法,其特征在于,步骤S2,包括
步骤S21:LB/Connector收到请求报文后生成连接标识;
步骤S22:LB/Connector从请求报文中提取域名,根据从WAF获取的域名的检测配置确定需要进行检测的域名;
步骤S23:LB/Connector根据对应的域名检测配置从需要进行域名检测的报文中提取对应位置的待检测字段;
步骤S24:LB/Connector将连接标识和待检测字段以私有协议的形式封装后发送到WAF,设置超时机制。
9.根据权利要求8所述的WAF旁路部署方法,其特征在于,步骤S23中,采用OpenResty提供的协程套接字对应的API接口设置超时机制。
10.根据权利要求7所述的WAF旁路部署方法,其特征在于,步骤S2还包括:通过LB/Connector从WAF获取每个域名的检测配置,根据域名的检测配置将不需要进行域名检测的请求报文直接放行至源站。
11.根据权利要求7所述的WAF旁路部署方法,其特征在于,步骤S3,包括:
步骤S31:WAF接收并解析封装后的私有协议,提取待检测的字段;
步骤S32:WAF使用检测引擎对待检测的字段进行检测,生成检测结果;
步骤S33:WAF将连接标识和检测结果以私有协议的形式封装后返回至LB/Connector。
12.根据权利要求11所述的WAF旁路部署方法,其特征在于,步骤S31中,提取待检测的字段,包括:从封装后的私有协议中提取域名,根据不同域名将待检测字段对应不同的检测规则集。
13.根据权利要求11所述的WAF旁路部署方法,其特征在于,步骤S32,包括:
步骤S321:检测引擎通过匹配规则对待检测的字段进行匹配;
步骤S322:根据匹配到的攻击特征返回对应的规则ID匹配集;
步骤S323:将返回的规则ID匹配集与域名配置的检测规则集合进行相与,生成规则结果集,并为每个匹配规则生成对应的攻击日志。
14.根据权利要求7所述的WAF旁路部署方法,其特征在于,步骤S4,包括:如果LB/Connector在超时前收到检测结果,根据检测结果将请求报文放行至源站或对请求报文进行拦截;如果LB/Connector在超时前未收到检测结果,将请求报文放行至源站。
15.根据权利要求7所述的WAF旁路部署方法,其特征在于,步骤S5,包括:
步骤S51:源站接收请求报文后将应答报文发送至LB/Connector;
步骤S52:LB/Connector将接收的应答报文发送至WAF;
步骤S53:WAF对接收的应答报文进行检测,将检测结果返回至LB/Connector;
步骤S54:LB/Connector根据收到检测结果的时间及检测结果,将应答报文放行至客户端或对应答报文进行拦截。
CN202211045771.3A 2022-08-30 2022-08-30 一种waf旁路部署系统和方法 Pending CN115529164A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211045771.3A CN115529164A (zh) 2022-08-30 2022-08-30 一种waf旁路部署系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211045771.3A CN115529164A (zh) 2022-08-30 2022-08-30 一种waf旁路部署系统和方法

Publications (1)

Publication Number Publication Date
CN115529164A true CN115529164A (zh) 2022-12-27

Family

ID=84698110

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211045771.3A Pending CN115529164A (zh) 2022-08-30 2022-08-30 一种waf旁路部署系统和方法

Country Status (1)

Country Link
CN (1) CN115529164A (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935551A (zh) * 2014-03-18 2015-09-23 杭州迪普科技有限公司 一种网页篡改防护装置及方法
CN106657426A (zh) * 2015-11-04 2017-05-10 中兴通讯股份有限公司 域名解析请求的处理方法、装置及服务器
CN107360162A (zh) * 2017-07-12 2017-11-17 北京奇艺世纪科技有限公司 一种网络应用防护方法和装置
CN108551461A (zh) * 2018-07-23 2018-09-18 赛尔网络有限公司 一种检测waf部署的方法、计算waf支持ipv6程度的方法
CN109587122A (zh) * 2018-11-20 2019-04-05 四川长虹电器股份有限公司 基于WAF系统功能实现自我保障Web子系统安全的系统及方法
CN112118329A (zh) * 2020-08-31 2020-12-22 北京奇艺世纪科技有限公司 一种网络请求处理方法、装置、电子设备及存储介质
CN112615700A (zh) * 2020-12-03 2021-04-06 瀚云科技有限公司 数据的发送方法、网关、系统、电子设备及可读存储介质
WO2022088405A1 (zh) * 2020-10-28 2022-05-05 杭州安恒信息技术股份有限公司 一种网络安全防护方法、装置及系统
WO2022105611A1 (zh) * 2021-06-29 2022-05-27 聚好看科技股份有限公司 一种心跳超时检测方法、服务器及电子设备

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935551A (zh) * 2014-03-18 2015-09-23 杭州迪普科技有限公司 一种网页篡改防护装置及方法
CN106657426A (zh) * 2015-11-04 2017-05-10 中兴通讯股份有限公司 域名解析请求的处理方法、装置及服务器
CN107360162A (zh) * 2017-07-12 2017-11-17 北京奇艺世纪科技有限公司 一种网络应用防护方法和装置
CN108551461A (zh) * 2018-07-23 2018-09-18 赛尔网络有限公司 一种检测waf部署的方法、计算waf支持ipv6程度的方法
CN109587122A (zh) * 2018-11-20 2019-04-05 四川长虹电器股份有限公司 基于WAF系统功能实现自我保障Web子系统安全的系统及方法
CN112118329A (zh) * 2020-08-31 2020-12-22 北京奇艺世纪科技有限公司 一种网络请求处理方法、装置、电子设备及存储介质
WO2022088405A1 (zh) * 2020-10-28 2022-05-05 杭州安恒信息技术股份有限公司 一种网络安全防护方法、装置及系统
CN112615700A (zh) * 2020-12-03 2021-04-06 瀚云科技有限公司 数据的发送方法、网关、系统、电子设备及可读存储介质
WO2022105611A1 (zh) * 2021-06-29 2022-05-27 聚好看科技股份有限公司 一种心跳超时检测方法、服务器及电子设备

Similar Documents

Publication Publication Date Title
US9231968B2 (en) Systems and methods for updating content detection devices and systems
EP2566135B1 (en) Cloud-based mainframe integration system and method
CN110933097B (zh) 面向多服务网关的限流与自动扩缩容方法
EP3985931A1 (en) Service flow division method, apparatus, and system, electronic device, and storage medium
US10798218B2 (en) Environment isolation method and device
CA2353325A1 (en) Method and system for improving network performance enhancing proxy architecture with gateway redundancy
US20150256404A1 (en) Method and system of providing computer network based limited visibility service discovery
US6389550B1 (en) High availability protocol computing and method
CN103124290B (zh) 基于反向隔离装置与隔离网关结合应用的负载均衡方法
CN113220484A (zh) 一种微服务调用方法、装置、电子设备及存储介质
KR101678612B1 (ko) 프록시 선택기와 각 프록시의 설정 제어를 이용한 단말 단위 실시간 정책 적용, 부하분산 및 장애 복구를 제공하는 서비스시스템 및 그 제어방법
CN111988280A (zh) 服务器与请求处理方法
CN110597783A (zh) 数据库管理方法、装置、设备及存储介质
CN115529164A (zh) 一种waf旁路部署系统和方法
CN111935108B (zh) 云数据安全访问控制方法、装置、电子装置及存储介质
CN117376032A (zh) 安全服务调度方法和系统、电子设备、存储介质
CN112217735A (zh) 信息同步方法与负载均衡系统
CN104618148A (zh) 一种防火墙设备的备份方法和设备
CN114978910B (zh) 一种虚拟化核心网的时间敏感实现方法及系统
CN106330537B (zh) Sdn网络设备控制面管理装置及方法
US20050132237A1 (en) Method, apparatus and program storage device for providing a remote power reset at a remote server through a network connection
CN111414262A (zh) 一种服务调用方法及装置
US10404652B2 (en) Communication device, communication method, and program
CN113098954B (zh) 报文转发方法、装置、计算机设备和存储介质
US20230199035A1 (en) Communication system, communication method, and non-transitory storage medium storing program

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination