專利名稱：Web應(yīng)用防火墻和web應(yīng)用安全防護(hù)方法
技術(shù)領(lǐng)域：
本發(fā)明總體上涉及針對(duì)Web網(wǎng)站群的云安全防護(hù)領(lǐng)域，尤其涉及ー種Web應(yīng)用防火墻和WEB應(yīng)用安全防護(hù)方法。
背景技術(shù)：
當(dāng)前網(wǎng)絡(luò)安全面臨的最大挑戰(zhàn)在于如何緩解針對(duì)WEB業(yè)務(wù)的各類安全威脅，如何高效保障WEB應(yīng)用的可用性和可靠性，如何優(yōu)化業(yè)務(wù)資源和提高應(yīng)用系統(tǒng)敏捷性等等。面對(duì)此類問題，國(guó)外和國(guó)內(nèi)制定并推廣了對(duì)應(yīng)的PCI DSS安全標(biāo)準(zhǔn)、公安部第82號(hào)令，同時(shí)也衍生了對(duì)應(yīng)的WEB應(yīng)用防火墻、網(wǎng)頁(yè)防篡改技術(shù)等等。WEB應(yīng)用防火墻(WEB Application Firewall，也可稱為網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng))。WEB應(yīng)用防火墻是通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來專門為WEB應(yīng)用提供保護(hù)的ー種產(chǎn)品。傳統(tǒng)WEB應(yīng)用防火墻的形態(tài)分為軟件和硬件。按部署方式，WEB應(yīng)用防火墻一般可以分為橋接方式和旁路方式。無論采用哪種方式，WEB應(yīng)用防火墻的架構(gòu)方案主要是為了讓W(xué)EB應(yīng)用防火墻對(duì)現(xiàn)有服務(wù)造成的影響最小并且部署簡(jiǎn)單，另外還能夠發(fā)揮其應(yīng)有的防護(hù)功能。下面分別介紹WEB應(yīng)用防火墻的這兩種部署方式。一、橋接方式
在橋接架構(gòu)(又叫主動(dòng)配置)中，WEB應(yīng)用防火墻被直接放在請(qǐng)求方(例如瀏覽器客戶端)與Web應(yīng)用服務(wù)器之間的流量路徑當(dāng)中。WEB應(yīng)用防火墻對(duì)應(yīng)用請(qǐng)求和響應(yīng)進(jìn)行檢查之后再根據(jù)檢查結(jié)果決定是否對(duì)其進(jìn)行傳送。使用橋接方式可以對(duì)請(qǐng)求進(jìn)行阻斷，阻止攻擊行為。1.軟件嵌入式
橋接方式是使用軟件嵌入式把WEB應(yīng)用防火墻安裝在WEB應(yīng)用服務(wù)器的操作系統(tǒng)中，對(duì)系統(tǒng)所接收的所有HTTP請(qǐng)求進(jìn)行接管處置，此方式局限于操作系統(tǒng)與WEB服務(wù)軟件的類型，只能在防火墻軟件的兼容范圍內(nèi)進(jìn)行安裝部署，并且對(duì)操作系統(tǒng)中其他軟件有可能存在沖突的風(fēng)險(xiǎn)。2.硬件設(shè)備橋接
硬件設(shè)備橋接是使用專用硬件設(shè)備來橋接部署，可選擇的方式:透明模式(即無IP方式運(yùn)行，用戶將不必重新設(shè)定和修改路由，防火墻就可以直接安裝和放置到網(wǎng)絡(luò)中使用，如交換機(jī)ー樣不需要設(shè)置IP地址。)和HTTP反向代理模式等等。這些方式需要將硬件設(shè)備串聯(lián)在WEB應(yīng)用服務(wù)器之前，將需要到達(dá)WEB應(yīng)用服務(wù)器的請(qǐng)求進(jìn)行接管處理，判斷攻擊行為后再?zèng)Q定是否通過請(qǐng)求。該部署模式會(huì)因防火墻設(shè)備單節(jié)點(diǎn)錯(cuò)誤而導(dǎo)致WEB服務(wù)中斷，并且WEB服務(wù)的性能瓶頸受到防火墻設(shè)備的性能限制，不能對(duì)虛擬主機(jī)或者分布式云計(jì)算部署的WEB應(yīng)用服務(wù)器進(jìn)行防護(hù)，無法進(jìn)行并行計(jì)算處理，只能部署單臺(tái)設(shè)備加上備機(jī)，所以系統(tǒng)的擴(kuò)展性較差，會(huì)導(dǎo)致性能瓶頸，也可能因單點(diǎn)錯(cuò)誤而造成服務(wù)中斷。
ニ、旁路方式
旁路方式又可被稱為"被動(dòng)"模式，這是因?yàn)榉阑饓υO(shè)備不在流量路徑中，而是從分接端ロ或跨接端ロ來監(jiān)控流量。旁路方式常常用于收集數(shù)據(jù)，以便之后用于調(diào)查或取證分析。這種架構(gòu)模式的一個(gè)主要優(yōu)點(diǎn)是，它并不干擾網(wǎng)絡(luò)流量或呑吐量，這是因?yàn)樗皇侵苯忧度氲?。而另一方面，不在流量路徑?dāng)中意味著，這種解決方案無法執(zhí)行主動(dòng)的橋接方式部署所能執(zhí)行的那種阻止操作。不過，該旁路方式可以支持某些形式的阻止操作，比如連接重置，或者通過聯(lián)系到另ー個(gè)系統(tǒng)(如網(wǎng)絡(luò)防火墻)，然后讓該系統(tǒng)執(zhí)行阻止操作。由于旁路方式無法進(jìn)行實(shí)時(shí)流量的處置，因此主要用于檢測(cè)，而非防護(hù)。

發(fā)明內(nèi)容
本發(fā)明要解決的主要技術(shù)問題是提供一種能夠防止由于單點(diǎn)錯(cuò)誤而造成服務(wù)中斷的WEB應(yīng)用防火墻和WEB應(yīng)用安全防護(hù)方法。為了解決上述問題，在本發(fā)明的一方面，本發(fā)明WEB應(yīng)用防火墻的技術(shù)方案包括中心防火墻節(jié)點(diǎn)和多個(gè)從防火墻節(jié)點(diǎn)，其中，
所述中心防火墻節(jié)點(diǎn)接收網(wǎng)絡(luò)用戶向保護(hù)目標(biāo)網(wǎng)站發(fā)起的請(qǐng)求并按照一定規(guī)則把所述請(qǐng)求轉(zhuǎn)發(fā)給多個(gè)從防火墻節(jié)點(diǎn)之一；
所述從防火墻節(jié)點(diǎn)對(duì)接收的請(qǐng)求進(jìn)行安全檢測(cè)以阻止或者允許所述請(qǐng)求對(duì)保護(hù)目標(biāo)網(wǎng)站的訪問。其中，所述中心防火墻節(jié)點(diǎn)和多個(gè)從防火墻節(jié)點(diǎn)在物理上位于不同的位置。優(yōu)選地，所述從防火墻節(jié)點(diǎn)的數(shù)目根據(jù)保護(hù)目標(biāo)網(wǎng)站的數(shù)目來配置。進(jìn)ー步地，所述從防火墻節(jié)點(diǎn)包括檢測(cè)單元和反向代理単元，其中，
所述檢測(cè)単元用于對(duì)所接收的請(qǐng)求的http頭和http正文進(jìn)行檢測(cè)，如果發(fā)現(xiàn)有攻擊，則阻止所接收的請(qǐng)求，否則把所接收的請(qǐng)求發(fā)送給所述反向代理単元；
所述反向代理単元根據(jù)接收到的請(qǐng)求向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求。此外,所述從防火墻節(jié)點(diǎn)還包括:
緩存單元，用于緩存歷史獲取過的保護(hù)目標(biāo)網(wǎng)站的頁(yè)面數(shù)據(jù)；
日志處理單元，用于搜集和分析攻擊日志并提供分析報(bào)告；其中，
所述反向代理単元在向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求之前，先查看所述緩存單元是否緩存有其所接收到的請(qǐng)求中所指向的保護(hù)目標(biāo)網(wǎng)站的頁(yè)面數(shù)據(jù)，如果有，則將所述頁(yè)面數(shù)據(jù)發(fā)送給所述網(wǎng)絡(luò)用戶，否則向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求。優(yōu)選地，所述從防火墻節(jié)點(diǎn)盡可能地靠近保護(hù)目標(biāo)網(wǎng)站放置。所述一定規(guī)則包括能夠提供加速訪問功能的規(guī)則和不同地域的最優(yōu)負(fù)載選路規(guī)則、資源動(dòng)態(tài)負(fù)載均衡規(guī)則。在本發(fā)明的另一方面，本發(fā)明WEB應(yīng)用安全防護(hù)方法的技術(shù)方案包括:
中心防火墻節(jié)點(diǎn)接收網(wǎng)絡(luò)用戶向保護(hù)目標(biāo)網(wǎng)站發(fā)起的請(qǐng)求并按照一定規(guī)則把所述請(qǐng)求轉(zhuǎn)發(fā)給多個(gè)從防火墻節(jié)點(diǎn)之一；
從防火墻節(jié)點(diǎn)對(duì)接收的請(qǐng)求進(jìn)行安全檢測(cè)以阻止或者允許所述請(qǐng)求對(duì)保護(hù)目標(biāo)網(wǎng)站的訪問。
所述中心防火墻節(jié)點(diǎn)和多個(gè)從防火墻節(jié)點(diǎn)在物理上位于不同的位置。所述從防火墻節(jié)點(diǎn)的數(shù)目根據(jù)保護(hù)目標(biāo)網(wǎng)站的數(shù)目來配置。優(yōu)選地,所述從防火墻節(jié)點(diǎn)包括檢測(cè)單元和反向代理單元,其中，
所述檢測(cè)単元用于對(duì)所接收的請(qǐng)求的http頭和http正文進(jìn)行檢測(cè)，如果發(fā)現(xiàn)有攻擊，則阻止所接收的請(qǐng)求，否則把所接收的請(qǐng)求發(fā)送給所述反向代理単元；
所述反向代理単元根據(jù)接收到的請(qǐng)求向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求。此外,所述從防火墻節(jié)點(diǎn)還包括:
緩存單元，用于緩存歷史獲取過的保護(hù)目標(biāo)網(wǎng)站的頁(yè)面數(shù)據(jù)；
日志處理單元，用于搜集和分析攻擊日志并提供分析報(bào)告；其中，
所述反向代理単元在向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求之前，先查看所述緩存單元是否緩存有其所接收到的請(qǐng)求中所指向的保護(hù)目標(biāo)網(wǎng)站的頁(yè)面數(shù)據(jù)，如果有，則將所述頁(yè)面數(shù)據(jù)發(fā)送給所述網(wǎng)絡(luò)用戶，否則向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求。優(yōu)選地，把所述從防火墻節(jié)點(diǎn)盡可能地放置在靠近保護(hù)目標(biāo)網(wǎng)站的位置。其中，所述一定規(guī)則包括能夠提供加速訪問功能的規(guī)則和不同地域的最優(yōu)負(fù)載選路規(guī)則、資源動(dòng)態(tài)負(fù)載均衡規(guī)則。與現(xiàn)有技術(shù)相比，本發(fā)明WEB應(yīng)用防火墻和WEB應(yīng)用安全防護(hù)方法的有益效果為:
首先，由于發(fā)明采用中心防火墻節(jié)點(diǎn)和多個(gè)從防火墻節(jié)點(diǎn)的部署方式，中心防火墻節(jié)點(diǎn)按照一定規(guī)則把從網(wǎng)絡(luò)用戶接收的對(duì)保護(hù)目標(biāo)網(wǎng)站的請(qǐng)求轉(zhuǎn)發(fā)給多個(gè)從防火墻節(jié)點(diǎn)之一，由ー個(gè)從防火墻節(jié)點(diǎn)對(duì)該請(qǐng)求進(jìn)行安全檢測(cè)，也就是說，中心防火墻節(jié)點(diǎn)可以把要檢測(cè)的任務(wù)在多個(gè)從防火墻節(jié)點(diǎn)之間進(jìn)行分配。從而可以很好地解決了由于ー個(gè)防火墻節(jié)點(diǎn)出現(xiàn)故障而造成服務(wù)中斷的問題。其次，本發(fā)明的中心防火墻節(jié)點(diǎn)和多個(gè)從防火墻節(jié)點(diǎn)在物理位置上可以處于不同的地方，從而無需修改網(wǎng)站原有的架設(shè)方式，因此簡(jiǎn)化了部署方案。再者，由于本發(fā)明的中心防火墻節(jié)點(diǎn)按照一定規(guī)則把從網(wǎng)絡(luò)用戶接收的對(duì)保護(hù)目標(biāo)網(wǎng)站的請(qǐng)求轉(zhuǎn)發(fā)給多個(gè)從防火墻節(jié)點(diǎn)之一，從而可以讓多個(gè)在不同機(jī)房的網(wǎng)站使用同一個(gè)從防火墻，因此降低了整體WEB應(yīng)用防火墻的運(yùn)行成本。


為了對(duì)本公開內(nèi)容更透徹的理解，下面參考結(jié)合附圖所進(jìn)行的下列描述，在附圖中:
圖1是依據(jù)本發(fā)明WEB應(yīng)用防火墻的ー個(gè)實(shí)施例的結(jié)構(gòu)示意 圖2是依據(jù)本發(fā)明WEB應(yīng)用安全防護(hù)方法的一個(gè)實(shí)施例的流程圖。
具體實(shí)施例方式下面將詳細(xì)描述本發(fā)明的具體實(shí)施例，但本發(fā)明并不限于下述具體實(shí)施例。如圖1所示，其是依據(jù)本發(fā)明WEB應(yīng)用防火墻的ー個(gè)實(shí)施例的結(jié)構(gòu)示意圖。在該圖1中，可以看出，本發(fā)明所公開的ー種WEB應(yīng)用防火墻的ー個(gè)實(shí)施例包括中心防火墻節(jié)點(diǎn)I和多個(gè)從防火墻節(jié)點(diǎn)21-2n，其中，21表示第一個(gè)從防火墻節(jié)點(diǎn)，2n表示第n個(gè)從防火墻節(jié)點(diǎn)，理論上n可以為無限大。所述中心防火墻節(jié)點(diǎn)I接收網(wǎng)絡(luò)用戶向保護(hù)目標(biāo)網(wǎng)站發(fā)起的請(qǐng)求并按照一定規(guī)則把所述請(qǐng)求轉(zhuǎn)發(fā)給多個(gè)從防火墻節(jié)點(diǎn)21…2n之一；
所述從防火墻節(jié)點(diǎn)21…2n對(duì)接收的請(qǐng)求進(jìn)行安全檢測(cè)以阻止或者允許所述請(qǐng)求對(duì)保護(hù)目標(biāo)網(wǎng)站的訪問。所述中心防火墻節(jié)點(diǎn)I和多個(gè)從防火墻節(jié)點(diǎn)21…2n可以采用服務(wù)器、工作站等可以直接或間接以及有線或無線地連接到互聯(lián)網(wǎng)的任何網(wǎng)絡(luò)設(shè)備。所述中心防火墻節(jié)點(diǎn)I和多個(gè)從防火墻節(jié)點(diǎn)21…2n在物理上可以位于不同的位置。所述從防火墻節(jié)點(diǎn)21…2n的數(shù)目根據(jù)保護(hù)目標(biāo)網(wǎng)站的數(shù)目來配置。也就是說，可以根據(jù)保護(hù)目標(biāo)網(wǎng)站的數(shù)目來對(duì)從防火墻節(jié)點(diǎn)21…2n的數(shù)目進(jìn)行增減以便使性能、成本
等最優(yōu)化。所述從防火墻節(jié)點(diǎn)21…2n包括檢測(cè)單元和反向代理単元，其中，
所述檢測(cè)単元用于對(duì)所接收的請(qǐng)求的http頭和http正文進(jìn)行檢測(cè)，如果發(fā)現(xiàn)有攻擊，則阻止所接收的請(qǐng)求，否則把所接收的請(qǐng)求發(fā)送給所述反向代理単元；
所述反向代理単元根據(jù)接收到的請(qǐng)求向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求。所述從防火墻節(jié)點(diǎn)21…2n還包括: 緩存單元，用于緩存歷史獲取過的保護(hù)目標(biāo)網(wǎng)站的頁(yè)面數(shù)據(jù)；
日志處理單元，用于搜集和分析攻擊日志并提供分析報(bào)告；其中，
所述反向代理単元在向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求之前，先查看所述緩存單元是否緩存有其所接收到的請(qǐng)求中所指向的保護(hù)目標(biāo)網(wǎng)站的頁(yè)面數(shù)據(jù)，如果有，則將所述頁(yè)面數(shù)據(jù)發(fā)送給所述網(wǎng)絡(luò)用戶，否則向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求。上面提到的術(shù)語(yǔ)“保護(hù)目標(biāo)網(wǎng)站”，是指受本發(fā)明WEB應(yīng)用防火墻保護(hù)的網(wǎng)站，其可以是因特網(wǎng)上的任何一個(gè)網(wǎng)站，只要網(wǎng)站的站長(zhǎng)請(qǐng)求本發(fā)明WEB應(yīng)用防火墻保護(hù)即可。從防火墻節(jié)點(diǎn)21…2n可以放置在保護(hù)目標(biāo)網(wǎng)站的位置或者盡可能地靠近保護(hù)目標(biāo)網(wǎng)站和訪問者的位置。從防火墻節(jié)點(diǎn)21…2n的實(shí)際物理位置距離訪問者越近越能使訪問者感受到快的訪問速度，因此可以將從防火墻節(jié)點(diǎn)21…2n放置在訪問者所在地區(qū)的IDC(Internet Data Center,互聯(lián)網(wǎng)數(shù)據(jù)中心)機(jī)房,訪問者訪問保護(hù)目標(biāo)網(wǎng)站時(shí)可以就近使用本地的從防火墻節(jié)點(diǎn)21…2n來緩存內(nèi)容。從上面可知，根據(jù)本發(fā)明的一個(gè)實(shí)施例，中心防火墻節(jié)點(diǎn)I接收網(wǎng)絡(luò)用戶向保護(hù)目標(biāo)網(wǎng)站發(fā)起的請(qǐng)求并按照一定規(guī)則把所述請(qǐng)求轉(zhuǎn)發(fā)給多個(gè)從防火墻節(jié)點(diǎn)21…2n之一，這里所說的一定規(guī)則，可以包括能夠提供加速訪問功能的規(guī)則、不同地域的最優(yōu)負(fù)載選路規(guī)則、資源動(dòng)態(tài)負(fù)載均衡規(guī)則等等。對(duì)于能夠提供加速訪問功能的規(guī)則而言，其可以包括最近距離規(guī)則，也就是在多個(gè)從防火墻節(jié)點(diǎn)21…2n中選擇在物理上距離該網(wǎng)絡(luò)用戶最近的ー個(gè)從防火墻節(jié)點(diǎn)21…2n以將請(qǐng)求轉(zhuǎn)發(fā)給該從防火墻節(jié)點(diǎn)，這樣可以達(dá)到快的訪問速度，也即加速訪問功能。另外，可以根據(jù)用戶的地理位置和IP所屬的IDC，來將請(qǐng)求轉(zhuǎn)發(fā)給部署在對(duì)應(yīng)IDC機(jī)房的ー個(gè)從防火墻節(jié)點(diǎn)21-2n，從而可以加快訪問速度。能夠提供加速訪問功能的規(guī)則還可以包括根據(jù)用戶的寬帶類型，來將請(qǐng)求轉(zhuǎn)發(fā)給部署在對(duì)應(yīng)電信或者網(wǎng)通的ー個(gè)從防火墻節(jié)點(diǎn)21…2n，從而可以加快訪問速度。本發(fā)明WEB應(yīng)用防火墻在防護(hù)過程中可以緩存正常的頁(yè)面請(qǐng)求，比如html頁(yè)面、圖片等，等下次有網(wǎng)絡(luò)用戶訪問相同的內(nèi)容時(shí)，就會(huì)將緩存的內(nèi)容返回給網(wǎng)絡(luò)用戶，而無需再向原始服務(wù)器去請(qǐng)求，這樣也可以提供加速訪問功能。對(duì)于不同地域的最優(yōu)負(fù)載選路規(guī)則而言，是指可以為用戶選擇最優(yōu)的網(wǎng)路負(fù)載進(jìn)行連接。在用戶訪問某個(gè)網(wǎng)站的時(shí)候，用戶本身的帶寬、網(wǎng)站接入帶寬和雙方寬帶類型是否匹配是訪問速度瓶頸，如用戶為2M網(wǎng)通帶寬，而網(wǎng)站服務(wù)為IOM電信帶寬，則用戶訪問過程中2M網(wǎng)通連接到IOM電信，由于帶寬處于不同鏈路，那么最終實(shí)際帶寬通常不到1M。當(dāng)接入WEB防火墻后，用戶2M帶寬依然是訪問瓶頸，但是網(wǎng)站服務(wù)內(nèi)容被防火墻緩存，并且防火墻自動(dòng)為用戶選擇了最優(yōu)的網(wǎng)通負(fù)載線路到防火墻獲取緩存的網(wǎng)頁(yè)內(nèi)容，那么用戶實(shí)際訪問速度可以達(dá)到1.5M以上，速度提高了一倍左右。本發(fā)明WEB應(yīng)用防火墻在防護(hù)過程中可以為用戶選擇匹配的帶寬路線和最優(yōu)的負(fù)載路線，并與緩存技術(shù)相結(jié)合大幅提高用戶訪問速度。對(duì)于資源動(dòng)態(tài)負(fù)載均衡規(guī)則而言，是指在各個(gè)保護(hù)目標(biāo)網(wǎng)站負(fù)載之間的平衡。在防護(hù)大規(guī)模網(wǎng)站的時(shí)候，由于每個(gè)網(wǎng)站服務(wù)器的流量各不相同，傳統(tǒng)情況下每個(gè)網(wǎng)站服務(wù)器獨(dú)占ー個(gè)從防火墻節(jié)點(diǎn)，這樣流量大的網(wǎng)站負(fù)載會(huì)很高，而流量小的網(wǎng)站幾乎不會(huì)占用對(duì)應(yīng)的從防火墻節(jié)點(diǎn)負(fù)載，這對(duì)整體防護(hù)體系來說資源利用極其不均衡。本發(fā)明WEB應(yīng)用防火墻可以根據(jù)實(shí)時(shí)的網(wǎng)站流量分析，分配更多資源給流量大的保護(hù)目標(biāo)網(wǎng)站使用，而只分配相對(duì)少的資源供小流量的保護(hù)目標(biāo)網(wǎng)站使用，從而可以實(shí)現(xiàn)各個(gè)保護(hù)目標(biāo)網(wǎng)站負(fù)載間的平衡，因此能夠更加有效地利用資源為保護(hù)目標(biāo)網(wǎng)站提供防護(hù)支持。在本發(fā)明的另一方面，提供了ー種WEB應(yīng)用安全防護(hù)方法。如圖2所示，其是依據(jù)本發(fā)明WEB應(yīng)用安全防護(hù)方法的一個(gè)實(shí)施例的流程圖。在該圖2中，可以看出，本發(fā)明WEB應(yīng)用安全防護(hù)方法的一個(gè)實(shí)施例包括:
步驟I)中心防火墻節(jié)點(diǎn)接收網(wǎng)絡(luò)用戶向保護(hù)目標(biāo)網(wǎng)站發(fā)起的請(qǐng)求并按照一定規(guī)則把所述請(qǐng)求轉(zhuǎn)發(fā)給多個(gè)從防火墻節(jié)點(diǎn)之一；
步驟2)從防火墻節(jié)點(diǎn)對(duì)接收的請(qǐng)求進(jìn)行安全檢測(cè)以阻止或者允許所述請(qǐng)求對(duì)保護(hù)目標(biāo)網(wǎng)站的訪問。由此可以知道，本發(fā)明WEB應(yīng)用安全防護(hù)方法通過由中心防火墻節(jié)點(diǎn)來接收網(wǎng)絡(luò)用戶向保護(hù)目標(biāo)網(wǎng)站發(fā)起的請(qǐng)求，然后中心防火墻節(jié)點(diǎn)按照一定規(guī)則把該請(qǐng)求轉(zhuǎn)發(fā)給多個(gè)從防火墻節(jié)點(diǎn)之一以便由接收到請(qǐng)求的從防火墻節(jié)點(diǎn)來對(duì)該請(qǐng)求進(jìn)行安全檢查，而不是由中心防火墻節(jié)點(diǎn)來進(jìn)行安全檢查。換句話說，中心防火墻節(jié)點(diǎn)將對(duì)保護(hù)目標(biāo)網(wǎng)站的安全檢查任務(wù)在多個(gè)從防火墻節(jié)點(diǎn)之間進(jìn)行分配，從而可以防止由于ー個(gè)防火墻節(jié)點(diǎn)出現(xiàn)故障而造成服務(wù)中斷的問題。另外，所述中心防火墻節(jié)點(diǎn)和多個(gè)從防火墻節(jié)點(diǎn)在物理上可以位于不同的位置。也就是說，中心防火墻節(jié)點(diǎn)與從防火墻節(jié)點(diǎn)之間以及各個(gè)從防火墻節(jié)點(diǎn)之間可以處于不同的地理位置，當(dāng)然也可以處于相同的地理位置。對(duì)于中心防火墻節(jié)點(diǎn)和多個(gè)從防火墻節(jié)點(diǎn)在物理上處于不同的位置的優(yōu)點(diǎn)之ー是可以靈活地對(duì)從防火墻節(jié)點(diǎn)進(jìn)行增加或者刪除，從而使得整體WEB應(yīng)用防火墻的配置更加靈活。另外，為了加快訪問速度，還可以將從防火墻節(jié)點(diǎn)在物理上放置到離網(wǎng)絡(luò)用戶更靠近的位置等等。當(dāng)然，還存在很多本領(lǐng)域技術(shù)人員可以想到的其它優(yōu)點(diǎn)。進(jìn)ー步地，所述從防火墻節(jié)點(diǎn)的數(shù)目根據(jù)保護(hù)目標(biāo)網(wǎng)站的數(shù)目來配置。例如，如果需要保護(hù)10個(gè)保護(hù)目標(biāo)網(wǎng)站，那么根據(jù)他們的計(jì)算流量預(yù)計(jì)使用5個(gè)從防火墻節(jié)點(diǎn)即可完成保護(hù)，而如果需要保護(hù)100個(gè)保護(hù)目標(biāo)網(wǎng)站的安全，則根據(jù)計(jì)算流量后，預(yù)計(jì)需要使用40個(gè)防火墻節(jié)點(diǎn)即可完成保護(hù)。其中，所述從防火墻節(jié)點(diǎn)包括檢測(cè)單元和反向代理単元，其中，
所述檢測(cè)単元用于對(duì)所接收的請(qǐng)求的http頭和http正文進(jìn)行檢測(cè)，如果發(fā)現(xiàn)有攻擊，則阻止所接收的請(qǐng)求，否則把所接收的請(qǐng)求發(fā)送給所述反向代理単元；
所述反向代理単元根據(jù)接收到的請(qǐng)求向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求。優(yōu)選地,所述從防火墻節(jié)點(diǎn)還包括:
緩存單元，用于緩存歷史獲取過的保護(hù)目標(biāo)網(wǎng)站的頁(yè)面數(shù)據(jù)；
日志處理單元，用于搜集和分析攻擊日志并提供分析報(bào)告；其中，
所述反向代理単元在向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求之前，先查看所述緩存單元是否緩存有其所接收到的請(qǐng)求中所指向的保護(hù)目標(biāo)網(wǎng)站的頁(yè)面數(shù)據(jù)，如果有，則將所述頁(yè)面數(shù)據(jù)發(fā)送給所述網(wǎng)絡(luò)用戶，否則向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求。優(yōu)選地，也可以把所述從防火墻節(jié)點(diǎn)盡可能地放置在靠近保護(hù)目標(biāo)網(wǎng)站的位置。對(duì)于中心防火墻節(jié)點(diǎn)I而言，例如，假設(shè)其IP為W0，并假設(shè)有三個(gè)從防火墻節(jié)點(diǎn)Wl，W2，W3，可以將這些設(shè)備放在不同的機(jī)房。又假設(shè)網(wǎng)絡(luò)用戶的站點(diǎn)為SI，其要訪問的服務(wù)器的IP為IP1。在實(shí)際使用吋，網(wǎng)絡(luò)用戶將域名解析指向到W0，等解析生效后，當(dāng)用戶訪問保護(hù)目標(biāo)網(wǎng)站的域名時(shí)，其請(qǐng)求將會(huì)轉(zhuǎn)向到WO，WO用作負(fù)載均衡，根據(jù)一定規(guī)則會(huì)將請(qǐng)求轉(zhuǎn)發(fā)給W1，W2，W3之間中的一臺(tái)。每個(gè)從防火墻節(jié)點(diǎn)接收到請(qǐng)求時(shí):首先檢查該請(qǐng)求頭和請(qǐng)求正文中是否存在攻擊行為，如果有攻擊行為則會(huì)阻斷請(qǐng)求。如果是合法請(qǐng)求，會(huì)再根據(jù)請(qǐng)求的內(nèi)容類型來做判斷。如果請(qǐng)求的是靜態(tài)資源，則會(huì)在緩存單元中檢查是否存在緩存，如果有緩存，則會(huì)直接返回而不向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求。如果請(qǐng)求的是動(dòng)態(tài)資源或者無緩存資源，則會(huì)根據(jù)域名SI向服務(wù)器IP地址IPl發(fā)起請(qǐng)求。當(dāng)從原始服務(wù)器獲取到返回內(nèi)容的時(shí)候，會(huì)對(duì)http響應(yīng)頭和響應(yīng)正文進(jìn)行檢測(cè)，如果發(fā)現(xiàn)有email信息，內(nèi)部網(wǎng)絡(luò)信息，web應(yīng)用報(bào)錯(cuò)信息等各種信息泄漏和網(wǎng)頁(yè)掛馬等特征，則會(huì)阻斷請(qǐng)求，而不會(huì)把原始內(nèi)容返回給網(wǎng)絡(luò)用戶。下面是本發(fā)明WEB應(yīng)用防火墻的應(yīng)用的ー個(gè)示例。把本發(fā)明的WEB應(yīng)用防火墻的硬件接入互聯(lián)網(wǎng)，可以作為一個(gè)在線服務(wù)，互聯(lián)網(wǎng)上的網(wǎng)站站長(zhǎng)通過申請(qǐng)使用這個(gè)服務(wù)，來保護(hù)自己的網(wǎng)站避免受到WEB攻擊的威脅。網(wǎng)站站長(zhǎng)可能擁有ー個(gè)或多個(gè)互聯(lián)網(wǎng)網(wǎng)站，承載網(wǎng)站的服務(wù)器部署在接入了互聯(lián)網(wǎng)的機(jī)房，當(dāng)需要防御WEB安全攻擊的時(shí)候，可以申請(qǐng)使用本發(fā)明的WEB應(yīng)用防火墻。首先，網(wǎng)站站長(zhǎng)到本發(fā)明WEB應(yīng)用防火墻的在線服務(wù)平臺(tái)申請(qǐng)注冊(cè)，填寫自己網(wǎng)站的域名和實(shí)際IP等信息，提交給在線服務(wù)平臺(tái)審核。等待審核通過后，網(wǎng)站站長(zhǎng)需要到域名服務(wù)商那里更改自己網(wǎng)站的DNS解析，將網(wǎng)站域名解析到本發(fā)明WEB應(yīng)用防火墻所提供的ー個(gè)IP地址(即，中心防火墻節(jié)點(diǎn))。等待解析生效后(正常情況下約2個(gè)小時(shí))，就可以得到本發(fā)明WEB應(yīng)用防火墻的防護(hù)。此時(shí)WEB應(yīng)用防火墻會(huì)接管所有對(duì)保護(hù)目標(biāo)網(wǎng)站的HTTP/HTTPS請(qǐng)求，并在進(jìn)行安全分析處理之后，進(jìn)行反向代理操作，將合法的HTTP/HTTPS請(qǐng)求發(fā)送到保護(hù)目標(biāo)網(wǎng)站，并將該保護(hù)目標(biāo)網(wǎng)站返回的數(shù)據(jù)返回到請(qǐng)求的客戶端。用戶可以通過查看WEB應(yīng)用防火墻提供的日志記錄，可以看到該WEB應(yīng)用防火墻接管到的HTTP/HTTPS請(qǐng)求信息，說明本發(fā)明WEB應(yīng)用防火墻已經(jīng)在正常工作。在保護(hù)生效后，所有對(duì)保護(hù)目標(biāo)網(wǎng)站的HTTP/HTTPS請(qǐng)求都不會(huì)直接對(duì)該保護(hù)目標(biāo)網(wǎng)站進(jìn)行連接，而是經(jīng)過本發(fā)明的WEB應(yīng)用防火墻進(jìn)行檢查。另外，需要說明的是，對(duì)于本發(fā)明的中心防火墻節(jié)點(diǎn)I而言，其數(shù)目也可以為ー個(gè)以上，也就是對(duì)不同的保護(hù)目標(biāo)網(wǎng)站群組分配不同的中心防火墻節(jié)點(diǎn)I或者按照ー些規(guī)則來進(jìn)行分配。此外，也可以將中心防火墻節(jié)點(diǎn)I配置成還具有從防火墻節(jié)點(diǎn)21…2n的功倉(cāng)^:。雖然上述已經(jīng)結(jié)合附圖描述了本發(fā)明的具體實(shí)施例，但是本領(lǐng)域技術(shù)人員在不脫離本發(fā)明的精神和范圍的情況下，可以對(duì)本發(fā)明進(jìn)行各種改變、修改和等效替代。這些改變、修改和等效替代都意為 落入隨附的權(quán)利要求所限定的精神和范圍之內(nèi)。
權(quán)利要求
1.一種WEB應(yīng)用防火墻，其特征在于，包括中心防火墻節(jié)點(diǎn)和多個(gè)從防火墻節(jié)點(diǎn)，其中， 所述中心防火墻節(jié)點(diǎn)接收網(wǎng)絡(luò)用戶向保護(hù)目標(biāo)網(wǎng)站發(fā)起的請(qǐng)求并按照一定規(guī)則把所述請(qǐng)求轉(zhuǎn)發(fā)給多個(gè)從防火墻節(jié)點(diǎn)之一； 所述從防火墻節(jié)點(diǎn)對(duì)接收的請(qǐng)求進(jìn)行安全檢測(cè)以阻止或者允許所述請(qǐng)求對(duì)保護(hù)目標(biāo)網(wǎng)站的訪問。
2.按權(quán)利要求1所述的WEB應(yīng)用防火墻，其特征在于，所述中心防火墻節(jié)點(diǎn)和多個(gè)從防火墻節(jié)點(diǎn)在物理上位于不同的位置。
3.按權(quán)利要求1或2所述的WEB應(yīng)用防火墻，其特征在于，所述從防火墻節(jié)點(diǎn)的數(shù)目根據(jù)保護(hù)目標(biāo)網(wǎng)站的數(shù)目來配置。
4.按權(quán)利要求3所述的WEB應(yīng)用防火墻，其特征在于，所述從防火墻節(jié)點(diǎn)包括檢測(cè)單元和反向代理単元，其中， 所述檢測(cè)単元用于對(duì)所接收的請(qǐng)求的http頭和http正文進(jìn)行檢測(cè)，如果發(fā)現(xiàn)有攻擊，則阻止所接收的請(qǐng)求，否則把所接收的請(qǐng)求發(fā)送給所述反向代理単元； 所述反向代理単元根據(jù)接收到的請(qǐng)求向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求。
5.按權(quán)利要求4所述的WEB應(yīng)用防火墻，其特征在于，所述從防火墻節(jié)點(diǎn)還包括: 緩存單元，用于緩存歷史獲取過的保護(hù)目標(biāo)網(wǎng)站的頁(yè)面數(shù)據(jù)； 日志處理單元，用于搜集和分析攻擊日志并提供分析報(bào)告；其中， 所述反向代理単元在向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求之前，先查看所述緩存單元是否緩存有其所接收到的請(qǐng)求中所指向的保護(hù)目標(biāo)網(wǎng)站的頁(yè)面數(shù)據(jù)，如果有，則將所述頁(yè)面數(shù)據(jù)發(fā)送給所述網(wǎng)絡(luò)用戶，否則向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求。
6.按權(quán)利要求5所述的WEB應(yīng)用防火墻，其特征在于， 所述從防火墻節(jié)點(diǎn)盡可能地靠近保護(hù)目標(biāo)網(wǎng)站放置。
7.按權(quán)利要求6所述的WEB應(yīng)用防火墻，其特征在于， 所述一定規(guī)則包括能夠提供加速訪問功能的規(guī)則和不同地域的最優(yōu)負(fù)載選路規(guī)則、資源動(dòng)態(tài)負(fù)載均衡規(guī)則。
8.一種WEB應(yīng)用安全防護(hù)方法，其特征在于，包括: 中心防火墻節(jié)點(diǎn)接收網(wǎng)絡(luò)用戶向保護(hù)目標(biāo)網(wǎng)站發(fā)起的請(qǐng)求并按照一定規(guī)則把所述請(qǐng)求轉(zhuǎn)發(fā)給多個(gè)從防火墻節(jié)點(diǎn)之一； 從防火墻節(jié)點(diǎn)對(duì)接收的請(qǐng)求進(jìn)行安全檢測(cè)以阻止或者允許所述請(qǐng)求對(duì)保護(hù)目標(biāo)網(wǎng)站的訪問。
9.按權(quán)利要求8所述的WEB應(yīng)用安全防護(hù)方法，其特征在于，所述中心防火墻節(jié)點(diǎn)和多個(gè)從防火墻節(jié)點(diǎn)在物理上位于不同的位置。
10.按權(quán)利要求8或9所述的WEB應(yīng)用安全防護(hù)方法，其特征在于，所述從防火墻節(jié)點(diǎn)的數(shù)目根據(jù)保護(hù)目標(biāo)網(wǎng)站的數(shù)目來配置。
11.按權(quán)利要求10所述的WEB應(yīng)用安全防護(hù)方法，其特征在于，所述從防火墻節(jié)點(diǎn)包括檢測(cè)單元和反向代理単元，其中， 所述檢測(cè)単元用于對(duì)所接收的請(qǐng)求的http頭和http正文進(jìn)行檢測(cè)，如果發(fā)現(xiàn)有攻擊，則阻止所接收的請(qǐng)求，否則把所接收的請(qǐng)求發(fā)送給所述反向代理単元；所述反向代理単元根據(jù)接收到的請(qǐng)求向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求。
12.按權(quán)利要求11所述的WEB應(yīng)用安全防護(hù)方法，其特征在于，所述從防火墻節(jié)點(diǎn)還包括: 緩存單元，用于緩存歷史獲取過的保護(hù)目標(biāo)網(wǎng)站的頁(yè)面數(shù)據(jù)； 日志處理單元，用于搜集和分析攻擊日志并提供分析報(bào)告；其中， 所述反向代理単元在向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求之前，先查看所述緩存單元是否緩存有其所接收到的請(qǐng)求中所指向的保護(hù)目標(biāo)網(wǎng)站的頁(yè)面數(shù)據(jù)，如果有，則將所述頁(yè)面數(shù)據(jù)發(fā)送給所述網(wǎng)絡(luò)用戶，否則向保護(hù)目標(biāo)網(wǎng)站發(fā)起請(qǐng)求。
13.按權(quán)利要求12所述的WEB應(yīng)用安全防護(hù)方法，其特征在于， 把所述從防火墻節(jié)點(diǎn)盡可能地放置在靠近保護(hù)目標(biāo)網(wǎng)站的位置。
14.按權(quán)利要求13所述的WEB應(yīng)用安全防護(hù)方法，其特征在于， 所述一定規(guī)則包括能夠提供加速訪問功能的規(guī)則和不同地域的最優(yōu)負(fù)載選路規(guī)則、資源動(dòng)態(tài)負(fù) 載均衡規(guī)則。
全文摘要
本發(fā)明公開了一種WEB應(yīng)用防火墻和WEB應(yīng)用安全防護(hù)方法。本發(fā)明WEB應(yīng)用防火墻包括中心防火墻節(jié)點(diǎn)和多個(gè)從防火墻節(jié)點(diǎn)，其中，所述中心防火墻節(jié)點(diǎn)接收網(wǎng)絡(luò)用戶向保護(hù)目標(biāo)網(wǎng)站發(fā)起的請(qǐng)求并按照一定規(guī)則把所述請(qǐng)求轉(zhuǎn)發(fā)給多個(gè)從防火墻節(jié)點(diǎn)之一；所述從防火墻節(jié)點(diǎn)對(duì)接收的請(qǐng)求進(jìn)行安全檢測(cè)以阻止或者允許所述請(qǐng)求對(duì)保護(hù)目標(biāo)網(wǎng)站的訪問。本發(fā)明WEB應(yīng)用安全防護(hù)方法包括中心防火墻節(jié)點(diǎn)接收網(wǎng)絡(luò)用戶向保護(hù)目標(biāo)網(wǎng)站發(fā)起的請(qǐng)求并按照一定規(guī)則把所述請(qǐng)求轉(zhuǎn)發(fā)給多個(gè)從防火墻節(jié)點(diǎn)之一；從防火墻節(jié)點(diǎn)對(duì)接收的請(qǐng)求進(jìn)行安全檢測(cè)以阻止或者允許所述請(qǐng)求對(duì)保護(hù)目標(biāo)網(wǎng)站的訪問。采用本發(fā)明的技術(shù)方案能夠防止由于單點(diǎn)錯(cuò)誤而造成服務(wù)中斷。
文檔編號(hào)H04L29/08GK103095778SQ201110347688
公開日2013年5月8日 申請(qǐng)日期2011年11月7日 優(yōu)先權(quán)日2011年11月7日
發(fā)明者不公告發(fā)明人 申請(qǐng)人:北京知道創(chuàng)宇信息技術(shù)有限公司