CN117395082B - 业务处理方法、电子设备及存储介质 - Google Patents
业务处理方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117395082B CN117395082B CN202311685011.3A CN202311685011A CN117395082B CN 117395082 B CN117395082 B CN 117395082B CN 202311685011 A CN202311685011 A CN 202311685011A CN 117395082 B CN117395082 B CN 117395082B
- Authority
- CN
- China
- Prior art keywords
- waf
- service request
- service
- proxy server
- reverse proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 19
- 238000001514 detection method Methods 0.000 claims abstract description 49
- 238000012545 processing Methods 0.000 claims description 34
- 238000000034 method Methods 0.000 claims description 32
- 238000004590 computer program Methods 0.000 claims description 17
- 230000003362 replicative effect Effects 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 abstract description 21
- 230000004044 response Effects 0.000 abstract description 17
- 230000008569 process Effects 0.000 description 15
- 238000012546 transfer Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000013500 data storage Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/2895—Intermediate processing functionally located close to the data provider application, e.g. reverse proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请适用于计算机技术领域,提供了一种业务处理方法、电子设备及存储介质,业务处理方法包括:接收业务请求;将所述业务请求向所述业务请求对应的目的地址发送,复制业务请求并将复制的业务请求向WAF发送,以便WAF对复制的业务请求进行安全检测,其中,WAF与反向代理服务器独立部署。由于WAF和反向代理服务器独立部署,WAF对业务请求的安全检测无需消耗反向代理服务器的计算资源,反向代理服务器将业务请求向目的地址发送和向WAF发送复制的业务请求,两者并行处理,互不影响,在减少业务请求的传输响应时间的同时,实现WAF对业务请求的安全检测。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种业务处理方法、电子设备及存储介质。
背景技术
随着计算机技术的不断发展,万维网(World Wide Web,WEB)应用越来越广泛。反向代理服务器(例如Nginx)具有超文本传输协议Hypertext Transfer Protocol,HTTP)处理能力和反向代理功能,网站应用级入侵防御系统(Web Application Firewall,WAF)通常部署在反向代理服务器中,在反向代理服务器接收到用户发送的业务请求时,业务请求首先经由WAF进行安全检测;若检测通过,则将业务请求向对应的业务源站发送。
对于响应时间敏感的业务(例如扫码支付业务),用户对于时间较为敏感,由于WAF检测导致业务请求的整体传输时间变长,影响用户体验。
发明内容
本申请提供一种业务处理方法、电子设备及存储介质,通过将业务请求向目的地址的传输和业务请求的安全检测并行独立进行,以减少业务请求的传输时间,避免因安全检测影响业务请求的传输响应时间,且安全检测对应的WAF和反向代理服务器独立部署,避免因WAF安全检测影响反向代理服务器的业务,同时通过独立部署的WAF对业务的安全检测以提升业务的安全性。
为达到上述目的,本申请采用如下技术方案:
第一方面,提供一种业务处理方法,应用网站反向代理服务器,所述方法包括:
接收业务请求;
将所述业务请求向所述业务请求对应的目的地址发送,复制业务请求并将复制的业务请求向WAF发送,以便WAF对复制的业务请求进行安全检测,其中所述WAF与所述反向代理服务器独立部署。
在反向代理服务器接收到业务请求时,将业务请求向业务请求的目的地址转发,并复制业务请求,将复制的业务请求向WAF发送,以使WAF对业务请求进行安全检测,且由于WAF和反向代理服务器独立部署,WAF对业务请求的安全检测无需消耗反向代理服务器的计算资源,在将业务请求向目的地址发送的过程中,无需经过WAF安全检测,避免因WAF安全检测过程导致业务请求的传输响应周期过长,影响用户业务体验;反向代理服务器将业务请求向目的地址发送和向WAF发送复制的业务请求,两者并行处理,互不影响,实现在减少业务请求的传输响应时间的同时,实现WAF对业务请求的安全检测。
进一步地,在WAF检测到业务请求存在攻击时,通过生成告警以提醒用户或业务请求的目的地址对该业务进行处理。
在一些实施例中,所述将复制的业务请求向WAF发送,包括:
通过镜像方式复制所述业务请求,并将复制的业务请求向所述WAF发送。
在一些实施例中,所述WAF包括多个WAF子节点,所述多个WAF子节点集群部署。
在一些实施例中,所述将所述业务请求的复制的业务请求向WAF发送,包括:
获取所述多个WAF子节点的节点性能信息;
依据所述节点性能信息确定所述多个WAF子节点中的目标WAF子节点;
将所述复制的业务请求向所述目标WAF子节点发送。
在一些实施例中,所述依据所述节点性能信息确定所述多个WAF子节点中的目标WAF子节点,包括:
获取所述反向代理服务器的第一位置信息和多个所述WAF子节点的第二位置信息;
依据所述节点性能信息、所述第一位置信息和所述第二位置信息确定所述多个WAF子节点中的目标WAF子节点。
在一些实施例中,所述WAF包括多个WAF子节点,多个WAF子节点具有同样的配置文件。
在一些实施例中,多个所述WAF子节点的主节点具有网站WEB控制台,多个所述WAF子节点的子节点用于将所述业务请求对应的日志向所述主节发送,所述主节点通过所述WEB控制台显示所述日志。
在一些实施例中,所述复制所述业务请求,并将复制的业务请求向WAF发送,包括:获取业务请求的业务类型;若该业务类型指示该业务请求为时间敏感类业务,则复制所述业务请求,并将复制的业务请求向WAF发送。
第二方面,提供一种业务处理方法,应用业务处理系统,所述业务处理系统包括反向代理服务器和WAF,所述反向代理服务器和所述WAF通信连接且独立部署,所述方法包括:
所述反向代理服务器接收业务请求;
所述反向代理服务器将所述业务请求向所述业务请求对应的目的地址发送,并复制所述业务请求并将复制的业务请求向WAF发送;
所述WAF接收所述复制的业务请求,并对复制的业务请求进行安全检测。
在一些实施例中,所述WAF包括多个WAF子节点,所述多个WAF子节点集群部署。
在一些实施例中,所述将所述复制的业务请求向WAF发送,包括:
获取所述多个WAF子节点的节点性能信息;
依据所述节点性能信息确定所述多个WAF子节点中的目标WAF子节点;
将所述复制的业务请求向所述目标WAF子节点发送。
在一些实施例中,所述依据所述节点性能信息确定所述多个WAF子节点中的目标WAF子节点,包括:
获取所述反向代理服务器的第一位置信息和多个所述WAF子节点的第二位置信息;
依据所述节点性能信息、所述第一位置信息和所述第二位置信息确定所述多个WAF子节点中的目标WAF子节点。
在一些实施例中,所述WAF包括多个WAF子节点,多个WAF子节点具有同样的配置文件。
在一些实施例中,多个所述WAF子节点中的主节点具有WEB控制台,多个所述WAF子节点中的子节点用于将所述业务请求对应的日志向所述主节点发送,所述主节点对接收到的日志进行分析统计,得到统计数据,并通过所述WEB控制台显示所述统计数据。
在一些实施例中,所述对所述复制的业务请求进行安全检测,包括:
检测到所述复制的业务请求存在攻击,则生成告警。
第三方面,提供一种业务处理系统,所述业务处理系统包括反向代理服务器和WAF,所述反向代理服务器和所述WAF通信连接且所述反向代理服务器和所述WAF独立部署;
所述反向代理服务器用于接收业务请求,将所述业务请求向所述业务请求对应的目的地址发送;复制所述业务请求,并将复制的业务请求向WAF发送;
所述WAF用于接收所述复制的业务请求,并对所述复制的业务请求进行安全检测。
第四方面,提供一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一可选的实现方式中的业务处理方法的步骤。
第五方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第一面任一项所述业务处理方法的步骤。
第六方面,本申请提供一种计算机程序产品,当计算机程序产品在电子设备上运行时,使得电子设备执行上述第一方面中任一项所述的方法。
可以理解的是,上述第二方面至第六方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
附图说明
图1为本申请实施例提供的一种业务处理系统的架构示意图;
图2为本申请实施例提供的一种业务处理方法的流程示意图;
图3为本申请实施例提供的一种业务处理系统的架构示意图;
图4为本申请实施例提供的一种业务处理系统的场景示意图;
图5为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
需要说明的是,本申请实施例使用的术语仅用于对本申请的具体实施例进行解释,而非旨在限定本申请。在本申请实施例的描述中,除非另有说明,“多个”是指两个或多于两个,“至少一个”、“一个或多个”是指一个、两个或两个以上。术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”特征可以明示或者隐含地包括一个或者更多个该特征。
在本说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
为便于理解,首先对本申请实施例所涉及的术语进行简单介绍。
1、Nginx
Nginx是一款反向代理服务器,其特点是占有内存少,并发能力强。
2、网站应用防火墙(WEB Application Firewall,WAF)
WAF是通过执行一系列针对HTTP/HTTPS的安全策略来专门为WEB应用提供保护的一款产品,WAF能够实时监控WEB应用程序的流量,并检测恶意行为和攻击尝试。
传统的WAF部署方式,是将WAF部署在反向代理服务器(例如Nginx)中,用户通过客户端发起业务请求,该业务请求通过反向代理服务器反向代理对业务源站(例如业务服务器)发起访问;由于反向代理服务器中部署有WAF,所有经由反向代理服务器的业务请求通常会经过WAF检测。请求到达WAF如果触发规则,则WAF拦截该业务请求。如果不触发规则,则请求通过,反向代理服务器向业务源站转发业务请求。业务源站对业务请求的响应也同样经过反向代理服务器内的WAF检测,不触发WAF规则的响应才会被反向代理服务器发送到客户端。由于业务请求和响应均需经由WAF检测,导致业务传输响应时间过长,影响用户体验,特别是对时间敏感的业务,业务传输响应时间过长可能导致业务不可用。且由于WAF部署在反向代理服务器内,WAF检测消耗反向代理服务器的计算资源,在同时处理大量业务请求时,可能因WAF检测消耗大量计算资源而导致反向代理服务器的其他业务无法正常运行。
基于上述问题,本申请实施例提供一种业务处理方法,在反向代理服务器接收到业务请求时,反向代理服务器将业务请求直接向业务请求的目的地址转发,并将复制的业务请求向WAF发送,以使WAF对复制的业务请求进行安全检测,且由于WAF和反向代理服务器独立部署,WAF对业务请求的安全检测无需消耗反向代理服务器的计算资源;在将业务请求向目的地址发送的过程中,无需经过WAF安全检测,避免因WAF安全检测过程导致业务请求的传输响应周期过程过长,影响用户业务体验;反向代理服务器将业务请求向目的地址发送和向WAF发送复制的业务请求,两者并行处理,互不影响,实现在减少业务请求的传输响应时间的同时,实现WAF对业务请求的安全检测。
请参见图1,图1为本申请实施例提供的一种业务处理系统的架构示意图,业务处理系统包括反向代理服务器和WAF,反向代理服务器和WAF通信连接且反向代理服务器和WAF独立部署,即反向代理服务器和WAF分别部署在各自独立的环境中,而不是共享同一个环境。这意味着反向代理服务器和WAF之间不会共享资源,彼此独立运行,互相不会影响。这种部署方式可以提高业务处理系统的稳定性和安全性,减少反向代理服务器和WAF之间的干扰和冲突。
其中,反向代理服务器和WAF通信连接,是指反向代理服务器和WAF之间可使用各种通信协议进行通信,例如超文本传输协议(Hypertext Transfer Protocol,HTTP)、超文本传输安全协议(Hypertext Transfer Protocol Secure,HTTP)、传输控制协议(TCP,Transmission Control Protocol)等。
示例性地,反向代理服务器将接收到的业务请求进行复制,并将复制的业务请求向WAF发送,以便WAF对业务请求进行安全检测(例如检查和过滤);
在WAF对业务请求进行检查过滤,且检测通过之后,则WAF生成相关日志;若WAF检测到业务请求存在攻击,则生成相关日志,并依据该攻击生成告警,以便工作人员或安全处理系统对攻击进行处理,例如统计攻击数量、标记攻击源等。
可选地,反向代理服务器为Nginx,Nginx是一种轻量级的反向代理服务器,具有高性能的超文本传输协议(Hypertext Transfer Protocol,HTTP)处理能力和反向代理功能,当然,可以理解,反向代理服务器还可为其他轻量级的反向代理服务器。
请参阅图2,图2为本申请实施例提供的一种业务处理方法的流程示意图。该业务处理方法包括如下步骤:
S201、反向代理服务器接收业务请求。
易理解,业务请求可为用户通过客户端发送的业务需求,例如,用户通过操控手机的客户端发送的业务请求,该业务请求为用户想要通过客户端显示付款码。
S202、反向代理服务器将该业务请求向业务请求对应目的地址发送,复制业务请求,并将复制的业务请求向WAF发送,以便WAF对复制的业务请求进行安全检测,反向代理服务器和WAF独立部署。
易理解,反向代理服务器接收到用户发送的业务请求之后,直接向业务请求对应的目的地址进行转发,无需经过WAF进行检测和过滤,减少了业务请求的传输时间。其中,目的地址可为业务请求访问的服务器,例如,可通过访问服务器以请求特定的网页或资源,当然,目的地址也可为其他地址,例如访问业务源站的地址。
可选地,反向代理服务器在将业务请求向对应的目的地址发送的同时,反向代理服务器复制该业务请求,并将复制后的业务请求向WAF发送,以便WAF对业务请求进行安全检测,例如通过WAF进行安全检查,并依据预设的匹配规则进行匹配;若在安全检测过程中检测到攻击则生成相关日志并进行告警,以便依据告警进行相关安全处理,例如标记攻击源、统计攻击数量,攻击种类等。
可选地,反向代理服务器可从业务请求中获取对应的目的地址,例如业务请求中携带对应的目的地址;反向代理服务器也可通过其他方式获取目的地址,例如,业务请求携带第一标识,反向代理服务器依据第一标识进行查找,查找第一标识对应的目标地址。
如此,在反向代理服务器接收到业务请求之后,直接将业务请求向目的地址进行转发,以减少业务请求的传输时间,避免在传输业务请求过程中进行WAF安全检测,导致传输时间的增加而影响用户体验;同时将业务请求进行复制,并将复制的业务请求向WAF转发,以便由WAF对业务请求进行安全检测;反向代理服务器将两份相同的业务请求分别向WAF和目的地址进行发送,两者相互独立且互不影响,以实现减少业务请求的传输时间的同时保证业务请求的安全性。
进一步地,在将业务请求向目的地址发送之后,目的地址对应的业务源站接收业务请求并返回业务请求对应的业务响应,反向代理服务器接收到业务响应,直接向业务请求的发送侧转发业务响应,无需经由WAF进行安全检测,减少了业务请求的整体响应时间。
可选地,S202中复制业务请求并将复制的业务请求向WAF发送,包括:通过镜像方式复制业务请求并将复制的业务请求向WAF发送。由于反向代理服务器通过镜像方式复制转发一个业务请求仅需几毫秒,对反向代理服务器处理的业务的影响很小。
进一步地,若反向代理服务器通过镜像方式复制业务请求并将复制的业务请求向WAF发送,且反向代理服务器为Nginx,则Nginx可通过mirror指令实现将业务请求的复制和将复制的业务请求向WAF转发。
示例性地,Nginx接收到一个HTTP请求,Nginx将HTTP请求向目的地址对应的服务器转发,同时通过mirror指令复制HTTP请求,并将复制的HTTP请求向WAF转发,以便WAF对HTTP请求进行安全检测。
可选地,若业务请求为HTTPS格式,反向代理服务器接收到业务请求之后,首先对业务请求进行解密,并将解密后的业务请求向目的地址发送,然后将解密后的业务请求进行复制,并将复制的业务请求向WAF发送。
请参见图3,图3为本申请实施例提供的另一种业务处理系统的架构示意图。图3与图1所示的业务处理系统相类似,业务处理系统包括反向代理服务器和WAF,且反向代理服务器和WAF独立部署,图3与图1所示的业务处理系统不同之处在于:
图3中的业务处理系统的反向代理服务器内部署有内WAF,在反向代理服务器接收到业务请求之后,可通过内WAF对业务请求进行安全检测,也可通过与反向代理服务器独立部署的WAF对业务请求进行安全检测。易理解,若反向代理服务器接收到业务请求由内WAF对业务请求进行安全检测,然后内WAF安全检测通过之后,反向代理服务器将业务请求向目的地址进行转发,由于WAF案件检测耗时较长,增加了业务请求的整体传输响应时间,特别是对时间敏感类业务,增加的时长严重影响用户体验。
可选地,在反向代理服务器接收到业务请求之后,还用于获取业务请求的业务类型,若该业务请求不是时间敏感类业务,例如网页的访问,或网站图片的获取,则反向代理服务器在接收到业务请求之后,首先由内WAF对业务请求进行安全检测,然后内WAF安全检测完成且检测通过之后,反向代理服务器将业务请求向目的地址进行转发。若该业务请求是时间敏感类业务,例如扫码支付、乘车码等,则反向代理服务器在接收到业务请求之后,直接将业务请求向目的地址发送,以减少业务请求的传输时间,从而减少业务请求的响应时间,提升用户的业务体验;然后反向代理服务器将业务请求进行复制,并将复制后的业务请求向与反向代理服务器独立部署的WAF发送,如此即减少了业务请求的传输时间,又对业务请求进行了安全检测。
在S202包括:
获取业务请求的业务类型;
若该业务类型指示该业务请求为时间敏感类业务,则将业务请求向业务请求对应的目的地址发送,并将业务请求的复制的业务请求向网站应用防火墙WAF发送;
若该业务类型指示该业务请求为非时间敏感类业务,则将业务请求向业务请求反向代理服务器的内WAF发送,在该内WAF检测完成且检测通过之后,将该业务请求向业务请求对应的目的地址发送。
如此,若业务请求为时间敏感类业务,反向代理服务器对业务请求的处理绕过反向代理服务器的内WAF(或者或旁路反向代理服务器的内WAF),反向代理服务器的内WAF无需对业务请求进行处理,反向代理服务器将业务请求直接向对应的目的地址发送,以提升业务请求的传输效率;并将复制的业务请求向WAF发送,以保证业务请求的安全性;依据业务类型选择对应的处理方式,以满足各种类型的业务请求的用户需求。
可以理解,业务请求的业务类型可由用户预先配置在反向代理服务器内,如此,在反向代理服务器接收到业务请求之后,可依据该业务请求进行查询,以获取该业务请求对应的业务类型;当然,业务请求的业务类型也可由对应的业务请求携带,则反向代理服务器接收到业务请求之后,由于业务请求携带对应的业务类型,反向代理服务器通过对业务请求的特定字段进行解析,即可确定该业务请求对应的业务类型。
可选地,由于WAF和反向代理服务器独立部署,WAF包括多个WAF子节点,多个WAF子节点集群部署,集群部署是将多个WAF子节点组合在一起,以共同处理工作负载和提供高可用性和扩展性。在本申请的集群部署中,由于多个WAF子节点具有相同的配置信息,每个子节点都运行着相同的业务应用,并且节点之间通过网络连接进行通信和数据交换。当一个子节点发生故障时,其他节点可以接管该节点的用户请求和数据处理,从而保证系统的可用性和稳定性。
可选地,与反向代理服务器独立部署的WAF包括多个WAF子节点具有相同的配置信息,由于多个WAF子节点的配置信息相同,便于依据用户需求随时添加或删除WAF子节点,易于扩展。
进一步地,多个WAF子节点中具有一个主节点和多个子点,多个子点通过获取主节点的配置文件,实现多个子节点与主节点使用相同的配置文件,从而使多个WAF子节点具有相同的配置信息。
进一步地,可通过相同的配置文件配置多个WAF子节点,使多个WAF子节点具有相同的配置信息或通过配置文件配置多个WAF子节点之后,主节点将该配置文件设置为对多个子节点共享,多个子节点通过读取主节点的配置文件,并依据读取的信息进行自身节点的配置,从而实现多个WAF子节点具有相同的配置信息。
可以理解,配置信息可为网站或应用程序的基本信息,如域名、IP地址等或安全策略和规则集,例如防火墙规则、访问控制规则、SQL注入防护规则、跨站脚本攻击(XSS)防护规则等。
进一步地,由于与反向代理服务器独立部署的WAF包括多个WAF子节点,则S202中将复制的业务请求向WAF发送,包括:
获取多个WAF子节点的节点性能信息;
依据节点性能信息确定多个WAF子节点中的目标WAF子节点;
将复制的业务请求向目标WAF子节点发送。
易理解,节点性能信息可包括处理能力、吞吐量和延迟信息中的至少一种,其中处理能力可为WAF子节点处理大量HTTP请求的能力;吞吐量为WAF子节点在短时间内处理大量的网络流量的能力;延迟信息为WAF子节点对延迟的影响。由于WAF子节点需要在HTTP请求到达时进行拦截和过滤,因此会增加一定的延迟。在向对应的WAF子节点发送业务请求进行安全检测之前,依据节点性能信息判断该WAF子节点是否具有对当前业务请求进行安全检测的能力,避免因WAF子节点性能不足而无法对当前的WAF子节点进行安全检测。
如此,在反向代理服务器将业务请求向多个WAF子节点发送时,依据节点性能信息选择多个WAF子节点中可处理当前业务请求的WAF子节点,避免因WAF子节点性能不足而无法对当前的WAF子节点进行安全检测。
进一步地,反向代理服务器在多个WAF子节点选择可处理当前业务请求的目标WAF子节点,还需考虑反向代理服务器的位置和多个WAF子节点的位置,以便从多个WAF子节点中选取与反向代理服务器距离较近的WAF子节点,以提升反向代理服务器和目标WAF子节点之间的复制的业务请求的传输效率。
则依据节点性能信息确定多个WAF子节点中的目标WAF子节点,包括:
获取反向代理服务器的第一位置信息和多个WAF子节点的第二位置信息;
依据节点性能信息、第一位置信息和第二位置信息确定多个WAF子节点中的目标WAF子节点。
其中,第一位置信息为反向代理服务器的位置,该位置可为绝对位置,例如经纬度等,也可为相对位置,反向代理服务器相对目标物体的位置,目标物体可为预设的物体。第二位置信息为多个WAF子节点的位置。
如此,依据节点性能信息、第一位置信息和第二位置信息从多个WAF子节点中选取目标WAF子节点,以使目标WAF子节点既满足节点性能要求和距离要求,即目标WAF子节点具有处理当前业务请求的能力,又满足特定的距离需求,例如目标WAF子节点与反向代理服务器之间的距离最小,或目标WAF子节点与反向代理服务器之间的距离小于预设距离阈值。
可选地,目标WAF子节点在对复制的业务请求进行检测时,若检测业务请求中存在攻击,例如跨站脚本攻击、异常业务请求、异常流量等,目标WAF子节点记录日志,例如,WAF节点记录检测到的业务请求的详细信息,包括攻击类型、攻击者IP地址、攻击目标等。这些日志可以用于后续的分析、报告和取证。
进一步地,在目标WAF子节点在对复制的业务请求进行检测,并检测到业务请求中存在攻击时,记录关业务请求相关攻击的日志,并将该日志保存在目标WAF子节点中,避免占用反向代理服务器的存储空间,降低因过多占用反向代理服务器的存储空间而引发故障的概率。
进一步地,目标WAF子节点在检测到业务请求存在攻击时,还用于发出警报或生成告警,例如目标WAF子节点可以向管理员或安全团队发送警报,以通知他们发生了攻击事件。这样可以及时采取措施来应对攻击,例如进一步的调查、修复漏洞或加强安全策略。
进一步地,由于与反向代理服务器独立部署的WAF包括多个WAF子节点,多个WAF子节点包括主节点和多个子节点,多个子节点将记录的业务请求相关攻击的日志向主节点发送,主节点对接收到的日志进行分析统计,得到统计数据。以便在主节点对所有WAF子节点的日志进行统一管理。
示例性地,每个子节点通过其自身的日志解析程序解析业务请求相关攻击的日志;得到日志摘要,并将日志摘要向主节点发送,主节点获取所有的日志之后,进行统计分析,例如获取攻击次数和频率。
可选地,主节点具有显示界面,主界面用于通过显示界面显示统计数据。
进一步地,主节点的显示界面为WEB控制台(WEB Console),主节点通过WEB控制台向用户展示统计数据,其中,WEB控制台(WEB Console)是一种通过WEB浏览器访问管理和监控主节点的工具。WEB控制台提供了一组用户界面和工具,用于主节点的配置、管理、监控和故障排除。WEB控制台可以通过网络访问,无需安装任何客户端软件,因此非常方便。
进一步地,用户可通过WEB控制台获取当前系统的安全状态,以便于安全人员进行运维和管理。例如可通过WEB控制台下载攻击相关日志、进行误报排除、新增或修改匹配规则等。
进一步地,用户还可通过WEB控制台进行信息统计(例如预设时间内的攻击数量)、攻击展示(通过界面展示攻击数量、攻击频率等)、每日日报(每次的攻击数据、攻击类型等)、对主节点进行规则配置等。
如此,通过WEB控制台以便于用户与WAF之间进行人机交互,便于用户通过WEB控制台的显示界面查看目标业务的安全状态。
请参见图4,图4为本申请实施例提供的一种业务处理系统的场景示意图,图4中业务处理系统包括反向代理服务器和WAF,反向代理服务器为Nginx,WAF为ModSecurity,ModSecurity是一个开源的WAF引擎,可兼容Nginx,WAF包括主节点和多个子节点,主节点和多个子节点具有相同的配置信息,主节点和多个子节点进行集群部署;
反向代理服务器接收到的业务请求为HTTP请求,反向代理服务器获取业务请求的目的地址,并将业务请求向目的地址(如图4中的后端业务,其中后端业务可为WEB服务器)发送;同时反向代理服务器通过镜像方式复制业务请求,并将复制的业务请求向WAF的其中一个节点(例如主节点或多个子节点中的一个)发送,以便WAF对复制的业务请求进行安全检测。
进一步地,反向代理服务器在接收到业务请求之后,可获取WAF的多个节点的节点性能信息、多个WAF节点的位置信息和反向代理服务器的位置信息确定多个WAF节点中的目标WAF节点,并将复制的业务请求向目标WAF节点发送。
进一步地,WAF中的主节点包括日报、报警、数据库和WEB控制台,WAF节点接收到反向代理服务器发送的业务请求时,对业务请求进行安全检测,若检测业务请求存在攻击,则日报模块生成业务请求相关攻击的日志,报警模块向管理员或安全团队发送警报,以通知他们发生了攻击事件;数据库模块用于存储攻击日志,用户可通过WEB控制台查看数据库模块存储的日志。当然,用户也可通过WEB控制台对WAF节点进行维护和管理。
进一步地,由于WAF多个节点,子节点还用于将本地存储的攻击日志向主节点发送,以便在主节点对所有的攻击日志进行统一管理。
可选地,反向代理服务器内还部署有WAF,则反向代理服务器接收到业务请求之后,反向代理服务器还用于获取业务请求的业务类型;
若该业务类型指示该业务请求为时间敏感类业务,则将业务请求向业务请求对应的目的地址发送,并复制业务请求,将复制的业务请求向与反向代理服务器独立部署的WAF发送;
若该业务类型指示该业务请求为非时间敏感类业务,则将业务请求向业务请求反向代理服务器的部署的WAF发送,在该WAF检测完成之后,将该业务请求向业务请求对应的目的地址发送。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了数据存储架构。本申请实施例提供的数据存储架构能够实现上述业务处理方法的实施例的各个过程,且能达到相同的技术效果,故下面所提供的一个或多个数据存储架构实施例中的具体限定可以参见上文中对于图形渲染方法的限定,为避免重复,这里不再赘述。
请参阅图5,为本申请实施例提供的一种电子设备的结构示意图。如图所示,本实施例提供的电子设备50可以包括:处理器540、存储器541以及存储在存储器541中并可在处理器540上运行的计算机程序542,例如业务处理方法对应的程序。处理器540执行计算机程序542时实现上述应用于业务处理方法实施例中的步骤,例如图2所示的步骤。
示例性的,计算机程序542可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器541中,并由处理器540执行,以完成本申请。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序542在电子设备50中的执行过程。
本领域技术人员可以理解,图5仅仅是电子设备50的示例,并不构成对电子设备50的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件。
处理器540可以是中央处理单元(central processing unit,CPU),还可以是其他通用处理器、数字信号处理器( Digital Signal Processor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(fieldprogrammable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器541可以是电子设备50的内部存储单元,例如电子设备50的硬盘或内存。存储器541也可以是电子设备50的外部存储设备,例如电子设备上配备的插接式硬盘、智能存储卡(smart media card,SMC)、安全数字(secure digital,SD)卡或闪存卡(flash card)等。进一步地,存储器541还可以既包括电子设备50的内部存储单元也包括外部存储设备。
存储器541用于存储计算机程序以及电子设备所需的其他程序和数据。存储器541还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元完成,即将数据存储架构的内部结构划分成不同的功能单元,以完成以上描述的全部或者部分功能。实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,该计算机程序被处理器执行时可实现上述各个方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在电子设备上运行时,使得电子设备实现上述各个方法实施例中的步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参照其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
最后应说明的是:以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (9)
1.一种业务处理方法,其特征在于,应用于反向代理服务器,所述反向代理服务器内部署有内WAF,所述方法包括:
接收业务请求;
获取所述业务请求的业务类型;
若所述业务类型指示所述业务请求为非时间敏感类业务,则向所述内WAF发送所述业务请求;在所述内WAF对所述业务请求检测完成之后,向所述业务请求对应的目的地址发送检测完成的业务请求;
若所述业务类型指示所述业务请求为时间敏感类业务,向所述业务请求对应的目的地址发送业务请求并复制所述业务请求,并将复制的业务请求向WAF发送,以使所述WAF对所述复制的业务请求进行安全检测,其中,所述WAF与所述反向代理服务器独立部署。
2.根据权利要求1所述的方法,其特征在于,所述复制所述业务请求,并将复制的业务请求向WAF发送,包括:
通过镜像方式复制所述业务请求,并将复制的业务请求向所述WAF发送。
3.根据权利要求1或2所述的方法,其特征在于,所述WAF包括多个WAF子节点,所述将复制的业务请求向WAF发送,包括:
获取所述多个WAF子节点的节点性能信息;
依据所述节点性能信息确定所述多个WAF子节点中的目标WAF子节点;
将所述复制的业务请求向所述目标WAF子节点发送。
4.根据权利要求3所述的方法,其特征在于,所述依据所述节点性能信息确定所述多个WAF子节点中的目标WAF子节点,包括:
获取所述反向代理服务器的第一位置信息和多个所述WAF子节点的第二位置信息;
依据所述节点性能信息、所述第一位置信息和所述第二位置信息确定所述多个WAF子节点中的目标WAF子节点。
5.一种业务处理方法,其特征在于,应用业务处理系统,所述业务处理系统包括反向代理服务器和WAF,所述反向代理服务器和所述WAF通信连接且所述反向代理服务器和所述WAF独立部署,所述反向代理服务器内部署有内WAF,所述方法包括:
所述反向代理服务器接收业务请求;
所述反向代理服务器获取所述业务请求的业务类型;
若所述业务类型指示所述业务请求为非时间敏感类业务,则向所述内WAF发送所述业务请求;在所述内WAF对所述业务请求检测完成之后,向所述业务请求对应的目的地址发送检测完成的业务请求;
若所述业务类型指示所述业务请求为时间敏感类业务,所述反向代理服务器将所述业务请求向所述业务请求对应的目的地址发送,所述反向代理服务器复制所述业务请求,并将复制的业务请求向WAF发送,所述WAF接收所述复制的业务请求并对所述复制的业务请求进行安全检测。
6.根据权利要求5所述的方法,其特征在于,所述WAF包括多个WAF子节点,所述多个WAF子节点集群部署。
7.根据权利要求5或6所述的方法,其特征在于,所述WAF包括多个WAF子节点,所述多个WAF子节点具有同样的配置文件。
8.一种电子设备,其特征在于,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4任一项所述的业务处理方法的步骤。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述业务处理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311685011.3A CN117395082B (zh) | 2023-12-11 | 2023-12-11 | 业务处理方法、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311685011.3A CN117395082B (zh) | 2023-12-11 | 2023-12-11 | 业务处理方法、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117395082A CN117395082A (zh) | 2024-01-12 |
CN117395082B true CN117395082B (zh) | 2024-03-22 |
Family
ID=89465101
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311685011.3A Active CN117395082B (zh) | 2023-12-11 | 2023-12-11 | 业务处理方法、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117395082B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9641485B1 (en) * | 2015-06-30 | 2017-05-02 | PacketViper LLC | System and method for out-of-band network firewall |
CN108667687A (zh) * | 2018-04-17 | 2018-10-16 | 四川长虹电器股份有限公司 | 一种基于Nginx的WAF测试方法 |
CN109167792A (zh) * | 2018-09-19 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种基于Nginx的新型WAF设计方法 |
CN109274669A (zh) * | 2018-09-18 | 2019-01-25 | 四川长虹电器股份有限公司 | 一种基于在线流量镜像旁路waf反向代理方法 |
CN115641944A (zh) * | 2022-09-28 | 2023-01-24 | 刘伟 | 数据智慧管理方法、装置、计算机设备及存储介质 |
CN115664833A (zh) * | 2022-11-03 | 2023-01-31 | 天津大学 | 基于局域网安全设备的网络劫持检测方法 |
CN117056920A (zh) * | 2023-07-19 | 2023-11-14 | 新浪技术(中国)有限公司 | 信息获取方法及装置、电子设备、存储介质 |
-
2023
- 2023-12-11 CN CN202311685011.3A patent/CN117395082B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9641485B1 (en) * | 2015-06-30 | 2017-05-02 | PacketViper LLC | System and method for out-of-band network firewall |
CN108667687A (zh) * | 2018-04-17 | 2018-10-16 | 四川长虹电器股份有限公司 | 一种基于Nginx的WAF测试方法 |
CN109274669A (zh) * | 2018-09-18 | 2019-01-25 | 四川长虹电器股份有限公司 | 一种基于在线流量镜像旁路waf反向代理方法 |
CN109167792A (zh) * | 2018-09-19 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种基于Nginx的新型WAF设计方法 |
CN115641944A (zh) * | 2022-09-28 | 2023-01-24 | 刘伟 | 数据智慧管理方法、装置、计算机设备及存储介质 |
CN115664833A (zh) * | 2022-11-03 | 2023-01-31 | 天津大学 | 基于局域网安全设备的网络劫持检测方法 |
CN117056920A (zh) * | 2023-07-19 | 2023-11-14 | 新浪技术(中国)有限公司 | 信息获取方法及装置、电子设备、存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN117395082A (zh) | 2024-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2018203393B2 (en) | Path scanning for the detection of anomalous subgraphs and use of dns requests and host agents for anomaly/change detection and network situational awareness | |
US10257224B2 (en) | Method and apparatus for providing forensic visibility into systems and networks | |
US10623424B2 (en) | Supplementing network flow analysis with endpoint information | |
US7644283B2 (en) | Media analysis method and system for locating and reporting the presence of steganographic activity | |
US10320833B2 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
CN113301012B (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
CN109479013B (zh) | 计算机网络中的业务的日志记录 | |
CN113424157A (zh) | IoT设备行为的多维周期性检测 | |
JP2006119754A (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
CN110809010A (zh) | 威胁信息处理方法、装置、电子设备及介质 | |
EP3292498A1 (en) | Using trusted platform module to build real time indicators of attack information | |
JP7161021B2 (ja) | サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム | |
Ono et al. | A proposal of port scan detection method based on Packet‐In Messages in OpenFlow networks and its evaluation | |
US11750448B2 (en) | Network device-integrated asset tag-based environmental sensing with mutual authentication | |
CN117395082B (zh) | 业务处理方法、电子设备及存储介质 | |
US20230247040A1 (en) | Techniques for cloud detection and response from cloud logs utilizing a security graph | |
CN114826727A (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
Sharma et al. | DDoS prevention architecture using anomaly detection in fog-empowered networks | |
JP7167290B2 (ja) | サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム | |
TWI764618B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
CN113259299B (zh) | 一种标签管理方法、上报方法、数据分析方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |