一種基于云的web應(yīng)用防火墻系統(tǒng)及其安全防護(hù)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種基于云的WEB應(yīng)用防火墻系統(tǒng)及其安全防護(hù)方法。
【背景技術(shù)】
[0002]目前,傳統(tǒng)的網(wǎng)絡(luò)層防火墻無法攔截應(yīng)用層(如http)的攻擊,企業(yè)一般都需要部署WEB應(yīng)用防火墻(WAF)來檢測并攔截應(yīng)用層的攻擊,WEB應(yīng)用防火墻一般有兩種,一種是軟件產(chǎn)品,無需對網(wǎng)絡(luò)改造,直接安裝在WEB應(yīng)用服務(wù)器上,由于WEB應(yīng)用防火墻性能依賴WEB應(yīng)用服務(wù)器性能,且對WEB應(yīng)用服務(wù)器的操作系統(tǒng)有要求,所以一般在小型WEB應(yīng)用上使用;另外一種是硬件產(chǎn)品,需對網(wǎng)絡(luò)進(jìn)行改造,把硬件的WEB應(yīng)用防火墻串聯(lián)到網(wǎng)絡(luò)中。
[0003]中國專利申請201110347688.7公開了一種WEB應(yīng)用防火墻和WEB應(yīng)用安全防護(hù)方法。該WEB應(yīng)用防火墻包括中心防火墻節(jié)點(diǎn)和多個從防火墻節(jié)點(diǎn),其中,中心防火墻節(jié)點(diǎn)接收網(wǎng)絡(luò)用戶向保護(hù)目標(biāo)網(wǎng)站發(fā)起的請求并按照一定規(guī)則把所述請求轉(zhuǎn)發(fā)給多個從防火墻節(jié)點(diǎn)之一;從防火墻節(jié)點(diǎn)對接收的請求進(jìn)行安全檢測以阻止或者允許所述請求對保護(hù)目標(biāo)網(wǎng)站的訪問。本發(fā)明WEB應(yīng)用安全防護(hù)方法包括中心防火墻節(jié)點(diǎn)接收網(wǎng)絡(luò)用戶向保護(hù)目標(biāo)網(wǎng)站發(fā)起的請求并按照一定規(guī)則把所述請求轉(zhuǎn)發(fā)給多個從防火墻節(jié)點(diǎn)之一;從防火墻節(jié)點(diǎn)對接收的請求進(jìn)行安全檢測以阻止或者允許所述請求對保護(hù)目標(biāo)網(wǎng)站的訪問。
[0004]根據(jù)以上方法部署的WEB應(yīng)用防火墻,存在以下問題:
[0005]1、成本問題,傳統(tǒng)的WEB應(yīng)用防火墻,一般是一個WEB應(yīng)用系統(tǒng)使用一套WEB應(yīng)用防火墻。
[0006]2、易用性,WEB應(yīng)用防火墻部署安裝,需要產(chǎn)品廠商專業(yè)人員部署安裝,非專業(yè)人員比較難操作;
[0007]3、升級維護(hù),由于應(yīng)用層攻擊的方法層出不窮,WEB應(yīng)用防火墻的規(guī)則庫也需要及時更新才能有效攔截應(yīng)用層的攻擊,傳統(tǒng)的WEB應(yīng)用防火墻一般是通過維護(hù)人員手工升級,但很多企業(yè)人員緊缺,所以規(guī)則庫有的半年一年才升級一次,有的甚至從不升級。
[0008]4、性能,傳統(tǒng)的WEB應(yīng)用防火墻存在性能的瓶頸,如需提高WEB應(yīng)用防火墻的性能,需要重新購買處理性能更佳的WEB應(yīng)用防火墻來代替現(xiàn)有WEB應(yīng)用防火墻,造成資源浪費(fèi)。
【發(fā)明內(nèi)容】
[0009]針對現(xiàn)有技術(shù)存在的問題,本發(fā)明的目的是提供一種基于云的WEB應(yīng)用防火墻系統(tǒng)及其安全防護(hù)方法。
[0010]為了實(shí)現(xiàn)上述目的,本發(fā)明提供了一種基于云的WEB應(yīng)用防火墻系統(tǒng),該WEB應(yīng)用防火墻系統(tǒng)由云防火墻引擎和防火墻控制中心組成;
[0011]其中,防火墻控制中心對云防火墻引擎進(jìn)行配置和管理;
[0012]云防火墻引擎部署在由多臺可擴(kuò)展的高性能服務(wù)器組成的云上;云防火墻引擎對應(yīng)用層的攻擊進(jìn)行檢測和攔截。
[0013]本發(fā)明的WEB應(yīng)用防火墻系統(tǒng)根據(jù)用戶申請的資源情況,為用戶分配不同的計算資源。
[0014]本發(fā)明的WEB應(yīng)用防火墻系統(tǒng)的使用及維護(hù)需注意如下事項(xiàng):
[0015]1、用戶根據(jù)web應(yīng)用系統(tǒng)的訪問量增加,向云WEB應(yīng)用防火墻提供商購買新的計算資源,無需購買新設(shè)備和重新部署;
[0016]2、規(guī)則升級更新,當(dāng)出現(xiàn)新的攻擊手段時,由安全研究員統(tǒng)一更新總的檢測規(guī)則,無需用戶自己去更新;
[0017]3、當(dāng)有web應(yīng)用系統(tǒng)增加時,用戶只需配置新系統(tǒng)的域名的NS記錄或者CNAME記錄。
[0018]根據(jù)本發(fā)明另一【具體實(shí)施方式】,WEB應(yīng)用防火墻系統(tǒng)的檢測規(guī)則包括總檢測規(guī)則(root_rules)和私有檢測規(guī)則(private_rules);
[0019]總檢測規(guī)則由WEB應(yīng)用防火墻系統(tǒng)所有者的安全人員維護(hù)更新(對于一些公開或未公開的新的攻擊手段);
[0020]私有檢測規(guī)則為每個WEB應(yīng)用防火墻系統(tǒng)的用戶根據(jù)自己業(yè)務(wù)系統(tǒng)的需求所制定的特別的檢測規(guī)則。
[0021]根據(jù)本發(fā)明另一【具體實(shí)施方式】,當(dāng)出現(xiàn)新的攻擊手段時,由WEB應(yīng)用防火墻系統(tǒng)所有者的安全人員統(tǒng)一更新所述總檢測規(guī)則。
[0022]根據(jù)本發(fā)明另一【具體實(shí)施方式】,用戶使用WEB應(yīng)用防火墻系統(tǒng)時,將網(wǎng)站解析權(quán)交給防火墻控制中心;網(wǎng)站解析權(quán),是指配置域名的NS記錄或者CNAME記錄的權(quán)力。
[0023]根據(jù)本發(fā)明另一【具體實(shí)施方式】,用戶重新配置DNS指向后,WEB應(yīng)用防火墻系統(tǒng)的部署安裝生效。
[0024]根據(jù)本發(fā)明另一【具體實(shí)施方式】,當(dāng)有web應(yīng)用系統(tǒng)增加時,用戶配置新系統(tǒng)的域名NS記錄或者CNAME記錄。
[0025]另一方面,本發(fā)明提供了使用上述WEB應(yīng)用防火墻系統(tǒng)的安全防護(hù)方法,該安全防護(hù)方法包括如下步驟:
[0026]A、用戶通過域名發(fā)出訪問網(wǎng)站,防火墻控制中心返回云防火墻引擎的IP地址;
[0027]B、訪問云防火墻引擎的IP,云防火墻引擎使用總檢測規(guī)則和私有檢測規(guī)則對訪問請求進(jìn)清除過濾;
[0028]C、云防火墻引擎向真實(shí)的應(yīng)用服務(wù)器發(fā)起過濾后的安全請求,最后把請求的結(jié)果返回給用戶。
[0029]與現(xiàn)有技術(shù)相比,本發(fā)明具有如下有益效果:
[0030]1、部署方式:傳統(tǒng)的WEB應(yīng)用防火墻是硬件設(shè)備或者軟件產(chǎn)品,部署安裝時,要么需要對網(wǎng)絡(luò)改造,要么要對應(yīng)用主機(jī)進(jìn)行安裝配置,都會對現(xiàn)在的網(wǎng)絡(luò)或者設(shè)備有影響;本發(fā)明WEB應(yīng)用防火墻系統(tǒng)部署,只需用戶重新配置DNS指向就生效,方便快捷。
[0031]2、維護(hù)升級:由WEB應(yīng)用防火墻系統(tǒng)提供商的安全員統(tǒng)一配置升級,比傳統(tǒng)WEB應(yīng)用防火墻能更早的攔截新型攻擊。
[0032]3、性能:WEB應(yīng)用防火墻系統(tǒng)性能出現(xiàn)瓶頸,只需購買更多的云資源,無需重新購買設(shè)備重新部署。
【附圖說明】
[0033]圖1為使用實(shí)施例1的WEB應(yīng)用防火墻系統(tǒng)的安全防護(hù)方法的流程圖。
【具體實(shí)施方式】
[0034]實(shí)施例1
[0035]本實(shí)施例的基于云的WEB應(yīng)用防火墻系統(tǒng)由云防火墻引擎和防火墻控制中心組成;其中,防火墻控制中心對云防火墻引擎進(jìn)行配置和管理;云防火墻引擎部署在由多臺可擴(kuò)展的高性能服務(wù)器組成的云上;云防火墻引擎對應(yīng)用層的攻擊進(jìn)行檢測和攔截。WEB應(yīng)用防火墻系統(tǒng)的檢測規(guī)則分為總檢測規(guī)則(root_rules)和私有檢測規(guī)則(private_rules),總檢測規(guī)則由云WEB應(yīng)用防火墻所有者的安全人員維護(hù)更新(對于一些公開或未公開的新的攻擊手段),同時,每個云WEB應(yīng)用防火墻用戶也可以根據(jù)自己業(yè)務(wù)系統(tǒng)的需求制定特別的檢測規(guī)則。
[0036]WEB應(yīng)用防火墻系統(tǒng)根據(jù)用戶申請的資源情況,為用戶分配不同的計算資源。用戶使用云WEB應(yīng)用防火墻,只需要把網(wǎng)站的解析權(quán)交給云WEB應(yīng)用防火墻控制中心,也就是配置域名的NS記錄或者CNAME記錄。
[0037]如圖1所示,使用上述WEB應(yīng)用防火墻系統(tǒng)的安全防護(hù)方法,包括如下步驟:
[0038]A、用戶通過域名發(fā)出訪問網(wǎng)站,防火墻控制中心返回云防火墻引擎的IP地址;
[0039]B、訪問云防火墻引擎的IP,云防火墻引擎使用總檢測規(guī)則和私有檢測規(guī)則對訪問請求進(jìn)清除過濾;
[0040]C、云防火墻引擎向真實(shí)的應(yīng)用服務(wù)器發(fā)起過濾后的安全請求,最后把請求的結(jié)果返回給用戶。
[0041]本實(shí)施例的WEB應(yīng)用防火墻系統(tǒng)的使用及維護(hù)需注意如下事項(xiàng):
[0042]1、用戶根據(jù)web應(yīng)用系統(tǒng)的訪問量增加,向云WEB應(yīng)用防火墻提供商購買新的計算資源,無需購買新設(shè)備和重新部署;
[0043]2、規(guī)則升級更新,當(dāng)出現(xiàn)新的攻擊手段時,由安全研究員統(tǒng)一更新總的檢測規(guī)則,無需用戶自己去更新;
[0044]3、當(dāng)有web應(yīng)用系統(tǒng)增加時,用戶只需配置新系統(tǒng)的域名的NS記錄或者CNAME記錄。
[0045]本實(shí)施例的WEB應(yīng)用防火墻系統(tǒng)具有如下有益效果:
[0046]1、部署方式:傳統(tǒng)的WEB應(yīng)用防火墻是硬件設(shè)備或者軟件產(chǎn)品,部署安裝時,要么需要對網(wǎng)絡(luò)改造,要么要對應(yīng)用主機(jī)進(jìn)行安裝配置,都會對現(xiàn)在的網(wǎng)絡(luò)或者設(shè)備有影響;本實(shí)施例的WEB應(yīng)用防火墻系統(tǒng)部署,只需用戶重新配置DNS指向就生效,方便快捷;
[0047]2、維護(hù)升級:由WEB應(yīng)用防火墻系統(tǒng)提供商的安全員統(tǒng)一配置升級,比傳統(tǒng)WEB應(yīng)用防火墻能更早的攔截新型攻擊;
[0048]3、性能:WEB應(yīng)用防火墻系統(tǒng)性能出現(xiàn)瓶頸,只需購買更多的云資源,無需重新購買設(shè)備重新部署。
[0049]以上是對本發(fā)明做的示例性描述,凡在不脫離本發(fā)明核心的情況下做出的簡單變形或修改均落入本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種基于云的WEB應(yīng)用防火墻系統(tǒng),其特征在于,所述WEB應(yīng)用防火墻系統(tǒng)由云防火墻引擎和防火墻控制中心組成; 其中,所述防火墻控制中心對所述云防火墻引擎進(jìn)行配置和管理; 所述云防火墻引擎部署在由多臺可擴(kuò)展的高性能服務(wù)器組成的云上;所述云防火墻引擎對應(yīng)用層的攻擊進(jìn)行檢測和攔截。2.如權(quán)利要求1所述的WEB應(yīng)用防火墻系統(tǒng),其特征在于,所述WEB應(yīng)用防火墻系統(tǒng)的檢測規(guī)則包括總檢測規(guī)則和私有檢測規(guī)則; 所述總檢測規(guī)則由所述WEB應(yīng)用防火墻系統(tǒng)所有者的安全人員維護(hù)更新; 所述私有檢測規(guī)則為每個所述WEB應(yīng)用防火墻系統(tǒng)的用戶根據(jù)自己業(yè)務(wù)系統(tǒng)的需求所制定的特別的檢測規(guī)則。3.如權(quán)利要求2所述的WEB應(yīng)用防火墻系統(tǒng),其特征在于,當(dāng)出現(xiàn)新的攻擊手段時,由所述WEB應(yīng)用防火墻系統(tǒng)所有者的安全人員統(tǒng)一更新所述總檢測規(guī)則。4.如權(quán)利要求1所述的WEB應(yīng)用防火墻系統(tǒng),其特征在于,用戶使用所述WEB應(yīng)用防火墻系統(tǒng)時,將網(wǎng)站解析權(quán)交給防火墻控制中心;所述網(wǎng)站解析權(quán),是指配置域名的NS記錄或者CNAME記錄的權(quán)力。5.如權(quán)利要求1所述的WEB應(yīng)用防火墻系統(tǒng),其特征在于,用戶重新配置DNS指向后,所述WEB應(yīng)用防火墻系統(tǒng)的部署安裝生效。6.如權(quán)利要求1所述的WEB應(yīng)用防火墻系統(tǒng),其特征在于,當(dāng)有web應(yīng)用系統(tǒng)增加時,用戶配置新系統(tǒng)的域名NS記錄或者CNAME記錄。7.使用權(quán)利要求1-6之一所述WEB應(yīng)用防火墻系統(tǒng)的安全防護(hù)方法,其特征在于,所述安全防護(hù)方法包括如下步驟: A、用戶通過域名發(fā)出訪問網(wǎng)站,所述防火墻控制中心返回所述云防火墻引擎的IP地址; B、訪問所述云防火墻引擎的IP,所述云防火墻引擎使用所述總檢測規(guī)則和所述私有檢測規(guī)則對訪問請求進(jìn)清除過濾; C、所述云防火墻引擎向真實(shí)的應(yīng)用服務(wù)器發(fā)起過濾后的安全請求,最后把請求的結(jié)果返回給用戶。
【專利摘要】本發(fā)明提供了一種基于云的WEB應(yīng)用防火墻系統(tǒng),該WEB應(yīng)用防火墻系統(tǒng)由云防火墻引擎和防火墻控制中心組成;其中,防火墻控制中心對云防火墻引擎進(jìn)行配置和管理;云防火墻引擎部署在由多臺可擴(kuò)展的高性能服務(wù)器組成的云上;云防火墻引擎對應(yīng)用層的攻擊進(jìn)行檢測和攔截。與現(xiàn)有技術(shù)相比,本發(fā)明具有如下有益效果:1、本發(fā)明的WEB應(yīng)用防火墻系統(tǒng)部署,只需用戶重新配置DNS指向就生效,方便快捷;2、由WEB應(yīng)用防火墻系統(tǒng)提供商的安全員統(tǒng)一配置升級,比傳統(tǒng)WEB應(yīng)用防火墻能更早的攔截新型攻擊;3、WEB應(yīng)用防火墻系統(tǒng)性能出現(xiàn)瓶頸,只需購買更多的云資源,無需重新購買設(shè)備重新部署。本發(fā)明同時提供了使用上述WEB應(yīng)用防火墻系統(tǒng)的安全防護(hù)方法。
【IPC分類】H04L29/06, H04L29/08
【公開號】CN105391703
【申請?zhí)枴緾N201510724125
【發(fā)明人】蒙家曉, 蔣屹新, 郭曉斌, 許愛東, 陳華軍, 關(guān)澤武, 陳富漢, 陳立明, 黃建理
【申請人】南方電網(wǎng)科學(xué)研究院有限責(zé)任公司, 中國南方電網(wǎng)有限責(zé)任公司電網(wǎng)技術(shù)研究中心
【公開日】2016年3月9日
【申請日】2015年10月28日