WEB应用防火墙和WEB应用安全防护方法

本发明总体上涉及针对Web网站的云安全防护领域，尤其涉及一种Web应用防火墙和WEB应用安全防护方法。

当前网络安全面临的最大挑战在于如何缓解针对WEB 业务的各类安全威胁，如何高效保障WEB 应用的可用性和可靠性，如何优化业务资源和提高应用系统敏捷性等等。面对此类问题，国外和国内制定并推广了对应的PCI  DSS安全标准、公安部第82号令，同时也衍生了对应的WEB应用防火墙、网页防篡改技术等等。

WEB应用防火墙（WEB Application Firewall，也可称为网站应用级入侵防御系统）。WEB应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为WEB应用提供保护的一种产品。

传统WEB应用防火墙的形态分为软件和硬件。按部署方式，WEB应用防火墙一般可以分为桥接方式和旁路方式。无论采用哪种方式，WEB应用防火墙的架构方案主要是为了让WEB应用防火墙对现有服务造成的影响最小并且部署简单，另外还能够发挥其应有的防护功能。

下面分别介绍WEB应用防火墙的这两种部署方式。

一、桥接方式

在桥接架构（又叫主动配置）中，WEB应用防火墙被直接放在请求方（例如浏览器客户端）与Web应用服务器之间的流量路径当中。WEB应用防火墙对应用请求和响应进行检查之后再根据检查结果决定是否对其进行传送。使用桥接方式可以对请求进行阻断，阻止攻击行为。

1.软件嵌入式

桥接方式是使用软件嵌入式把WEB应用防火墙安装在WEB应用服务器的操作系统中，对系统所接收的所有HTTP请求进行接管处置，此方式局限于操作系统与WEB服务软件的类型，只能在防火墙软件的兼容范围内进行安装部署，并且对操作系统中其他软件有可能存在冲突的风险。

2.硬件设备桥接

硬件设备桥接是使用专用硬件设备来桥接部署，可选择的方式：透明模式（即无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直接安装和放置到网络中使用，如交换机一样不需要设置IP地址。）和HTTP反向代理模式等等。这些方式需要将硬件设备串联在WEB应用服务器之前，将需要到达WEB应用服务器的请求进行接管处理，判断攻击行为后再决定是否通过请求。该部署模式会因防火墙设备单节点错误而导致WEB服务中断，并且WEB服务的性能瓶颈受到防火墙设备的性能限制，不能对虚拟主机或者分布式云计算部署的WEB应用服务器进行防护，无法进行并行计算处理，只能部署单台设备加上备机，所以系统的扩展性较差，会导致性能瓶颈，也可能因单点错误而造成服务中断。

二、旁路方式

旁路方式又可被称为"被动"模式，这是因为防火墙设备不在流量路径中，而是从分接端口或跨接端口来监控流量。

旁路方式常常用于收集数据，以便之后用于调查或取证分析。这种架构模式的一个主要优点是，它并不干扰网络流量或吞吐量，这是因为它不是直接嵌入的。而另一方面，不在流量路径当中意味着，这种解决方案无法执行主动的桥接方式部署所能执行的那种阻止操作。不过，该旁路方式可以支持某些形式的阻止操作，比如连接重置，或者通过联系到另一个系统（如网络防火墙），然后让该系统执行阻止操作。

由于旁路方式无法进行实时流量的处置，因此主要用于检测，而非防护。

本发明要解决的主要技术问题是提供一种能够防止由于单点错误而造成服务中断的WEB应用防火墙和WEB应用安全防护方法。

为了解决上述问题，在本发明的一方面，本发明WEB应用防火墙的技术方案包括中心防火墙节点和多个从防火墙节点，其中，

所述中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一；

所述从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。

其中，所述中心防火墙节点和多个从防火墙节点在物理上位于不同的位置。

优选地，所述从防火墙节点的数目根据保护目标网站的数目来配置。

进一步地，所述从防火墙节点包括检测单元和反向代理单元，其中，

所述检测单元用于对所接收的请求的http头和http正文进行检测，如果发现有攻击，则阻止所接收的请求，否则把所接收的请求发送给所述反向代理单元；

所述反向代理单元根据接收到的请求向保护目标网站发起请求。

此外，所述从防火墙节点还包括：

缓存单元，用于缓存历史获取过的保护目标网站的页面数据；

日志处理单元，用于搜集和分析攻击日志并提供分析报告；其中，

所述反向代理单元在向保护目标网站发起请求之前，先查看所述缓存单元是否缓存有其所接收到的请求中所指向的保护目标网站的页面数据，如果有，则将所述页面数据发送给所述网络用户，否则向保护目标网站发起请求。

优选地，所述从防火墙节点尽可能地靠近保护目标网站放置。

所述一定规则包括能够提供加速访问功能的规则和不同地域的最优负载选路规则、资源动态负载均衡规则。

在本发明的另一方面，本发明WEB应用安全防护方法的技术方案包括：

中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一；

从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。

所述中心防火墙节点和多个从防火墙节点在物理上位于不同的位置。

所述从防火墙节点的数目根据保护目标网站的数目来配置。

优选地，所述从防火墙节点包括检测单元和反向代理单元，其中，

所述检测单元用于对所接收的请求的http头和http正文进行检测，如果发现有攻击，则阻止所接收的请求，否则把所接收的请求发送给所述反向代理单元；

所述反向代理单元根据接收到的请求向保护目标网站发起请求。

此外，所述从防火墙节点还包括：

缓存单元，用于缓存历史获取过的保护目标网站的页面数据；

日志处理单元，用于搜集和分析攻击日志并提供分析报告；其中，

所述反向代理单元在向保护目标网站发起请求之前，先查看所述缓存单元是否缓存有其所接收到的请求中所指向的保护目标网站的页面数据，如果有，则将所述页面数据发送给所述网络用户，否则向保护目标网站发起请求。

优选地，把所述从防火墙节点尽可能地放置在靠近保护目标网站的位置。

其中，所述一定规则包括能够提供加速访问功能的规则和不同地域的最优负载选路规则、资源动态负载均衡规则。

与现有技术相比，本发明WEB应用防火墙和WEB应用安全防护方法的有益效果为：

首先，由于发明采用中心防火墙节点和多个从防火墙节点的部署方式，中心防火墙节点按照一定规则把从网络用户接收的对保护目标网站的请求转发给多个从防火墙节点之一，由一个从防火墙节点对该请求进行安全检测，也就是说，中心防火墙节点可以把要检测的任务在多个从防火墙节点之间进行分配。从而可以很好地解决了由于一个防火墙节点出现故障而造成服务中断的问题。

其次，本发明的中心防火墙节点和多个从防火墙节点在物理位置上可以处于不同的地方，从而无需修改网站原有的架设方式，因此简化了部署方案。

再者，由于本发明的中心防火墙节点按照一定规则把从网络用户接收的对保护目标网站的请求转发给多个从防火墙节点之一，从而可以让多个在不同机房的网站使用同一个从防火墙，因此降低了整体WEB应用防火墙的运行成本。

为了对本公开内容更透彻的理解，下面参考结合附图所进行的下列描述，在附图中：

图1是依据本发明WEB应用防火墙的一个实施例的结构示意图；

图2是依据本发明WEB应用安全防护方法的一个实施例的流程图。

下面将详细描述本发明的具体实施例，但本发明并不限于下述具体实施例。

如图1所示，其是依据本发明WEB应用防火墙的一个实施例的结构示意图。在该图1中，可以看出，本发明所公开的一种WEB应用防火墙的一个实施例包括中心防火墙节点1和多个从防火墙节点21…2n，其中，21表示第一个从防火墙节点，2n表示第n个从防火墙节点，理论上n可以为无限大。

所述中心防火墙节点1接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点21…2n之一；

所述从防火墙节点21…2n对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。

所述中心防火墙节点1和多个从防火墙节点21…2n可以采用服务器、工作站等可以直接或间接以及有线或无线地连接到互联网的任何网络设备。

所述中心防火墙节点1和多个从防火墙节点21…2n在物理上可以位于不同的位置。

所述从防火墙节点21…2n的数目根据保护目标网站的数目来配置。也就是说，可以根据保护目标网站的数目来对从防火墙节点21…2n的数目进行增减以便使性能、成本等最优化。

所述从防火墙节点21…2n包括检测单元和反向代理单元，其中，

所述检测单元用于对所接收的请求的http头和http正文进行检测，如果发现有攻击，则阻止所接收的请求，否则把所接收的请求发送给所述反向代理单元；

所述反向代理单元根据接收到的请求向保护目标网站发起请求。

所述从防火墙节点21…2n还包括：

缓存单元，用于缓存历史获取过的保护目标网站的页面数据；

日志处理单元，用于搜集和分析攻击日志并提供分析报告；其中，

所述反向代理单元在向保护目标网站发起请求之前，先查看所述缓存单元是否缓存有其所接收到的请求中所指向的保护目标网站的页面数据，如果有，则将所述页面数据发送给所述网络用户，否则向保护目标网站发起请求。

上面提到的术语“保护目标网站”，是指受本发明WEB应用防火墙保护的网站，其可以是因特网上的任何一个网站，只要网站的站长请求本发明WEB应用防火墙保护即可。

从防火墙节点21…2n可以放置在保护目标网站的位置或者尽可能地靠近保护目标网站和访问者的位置。从防火墙节点21…2n的实际物理位置距离访问者越近越能使访问者感受到快的访问速度，因此可以将从防火墙节点21…2n放置在访问者所在地区的IDC（Internet Data Center，互联网数据中心）机房，访问者访问保护目标网站时可以就近使用本地的从防火墙节点21…2n来缓存内容。

从上面可知，根据本发明的一个实施例，中心防火墙节点1接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点21…2n之一，这里所说的一定规则，可以包括能够提供加速访问功能的规则、不同地域的最优负载选路规则、资源动态负载均衡规则等等。

对于能够提供加速访问功能的规则而言，其可以包括最近距离规则，也就是在多个从防火墙节点21…2n中选择在物理上距离该网络用户最近的一个从防火墙节点21…2n以将请求转发给该从防火墙节点，这样可以达到快的访问速度，也即加速访问功能。另外，可以根据用户的地理位置和IP所属的IDC，来将请求转发给部署在对应IDC机房的一个从防火墙节点21…2n，从而可以加快访问速度。能够提供加速访问功能的规则还可以包括根据用户的宽带类型，来将请求转发给部署在对应电信或者网通的一个从防火墙节点21…2n，从而可以加快访问速度。

本发明WEB应用防火墙在防护过程中可以缓存正常的页面请求，比如html页面、图片等，等下次有网络用户访问相同的内容时，就会将缓存的内容返回给网络用户，而无需再向原始服务器去请求，这样也可以提供加速访问功能。

对于不同地域的最优负载选路规则而言，是指可以为用户选择最优的网路负载进行连接。在用户访问某个网站的时候，用户本身的带宽、网站接入带宽和双方宽带类型是否匹配是访问速度瓶颈，如用户为2M网通带宽，而网站服务为10M电信带宽，则用户访问过程中2M网通连接到10M电信，由于带宽处于不同链路，那么最终实际带宽通常不到1M。当接入WEB防火墙后，用户2M带宽依然是访问瓶颈，但是网站服务内容被防火墙缓存，并且防火墙自动为用户选择了最优的网通负载线路到防火墙获取缓存的网页内容，那么用户实际访问速度可以达到1.5M以上，速度提高了一倍左右。

本发明WEB应用防火墙在防护过程中可以为用户选择匹配的带宽路线和最优的负载路线，并与缓存技术相结合大幅提高用户访问速度。

对于资源动态负载均衡规则而言，是指在各个保护目标网站负载之间的平衡。在防护大规模网站的时候，由于每个网站服务器的流量各不相同，传统情况下每个网站服务器独占一个从防火墙节点，这样流量大的网站负载会很高，而流量小的网站几乎不会占用对应的从防火墙节点负载，这对整体防护体系来说资源利用极其不均衡。本发明WEB应用防火墙可以根据实时的网站流量分析，分配更多资源给流量大的保护目标网站使用，而只分配相对少的资源供小流量的保护目标网站使用，从而可以实现各个保护目标网站负载间的平衡，因此能够更加有效地利用资源为保护目标网站提供防护支持。

在本发明的另一方面，提供了一种WEB应用安全防护方法。如图2所示，其是依据本发明WEB应用安全防护方法的一个实施例的流程图。在该图2中，可以看出，本发明WEB应用安全防护方法的一个实施例包括：

步骤1）中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一；

步骤2）从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。

由此可以知道，本发明WEB应用安全防护方法通过由中心防火墙节点来接收网络用户向保护目标网站发起的请求，然后中心防火墙节点按照一定规则把该请求转发给多个从防火墙节点之一以便由接收到请求的从防火墙节点来对该请求进行安全检查，而不是由中心防火墙节点来进行安全检查。换句话说，中心防火墙节点将对保护目标网站的安全检查任务在多个从防火墙节点之间进行分配，从而可以防止由于一个防火墙节点出现故障而造成服务中断的问题。

另外，所述中心防火墙节点和多个从防火墙节点在物理上可以位于不同的位置。也就是说，中心防火墙节点与从防火墙节点之间以及各个从防火墙节点之间可以处于不同的地理位置，当然也可以处于相同的地理位置。对于中心防火墙节点和多个从防火墙节点在物理上处于不同的位置的优点之一是可以灵活地对从防火墙节点进行增加或者删除，从而使得整体WEB应用防火墙的配置更加灵活。另外，为了加快访问速度，还可以将从防火墙节点在物理上放置到离网络用户更靠近的位置等等。当然，还存在很多本领域技术人员可以想到的其它优点。

进一步地，所述从防火墙节点的数目根据保护目标网站的数目来配置。例如，如果需要保护10个保护目标网站，那么根据他们的计算流量预计使用5个从防火墙节点即可完成保护，而如果需要保护100个保护目标网站的安全，则根据计算流量后，预计需要使用40个防火墙节点即可完成保护。

其中，所述从防火墙节点包括检测单元和反向代理单元，其中，

所述检测单元用于对所接收的请求的http头和http正文进行检测，如果发现有攻击，则阻止所接收的请求，否则把所接收的请求发送给所述反向代理单元；

所述反向代理单元根据接收到的请求向保护目标网站发起请求。

优选地，所述从防火墙节点还包括：

缓存单元，用于缓存历史获取过的保护目标网站的页面数据；

日志处理单元，用于搜集和分析攻击日志并提供分析报告；其中，

所述反向代理单元在向保护目标网站发起请求之前，先查看所述缓存单元是否缓存有其所接收到的请求中所指向的保护目标网站的页面数据，如果有，则将所述页面数据发送给所述网络用户，否则向保护目标网站发起请求。

优选地，也可以把所述从防火墙节点尽可能地放置在靠近保护目标网站的位置。

对于中心防火墙节点1而言，例如，假设其IP为W0，并假设有三个从防火墙节点W1，W2，W3，可以将这些设备放在不同的机房。

又假设网络用户的站点为S1，其要访问的服务器的IP为IP1。

在实际使用时，网络用户将域名解析指向到W0，等解析生效后，当用户访问保护目标网站的域名时，其请求将会转向到W0，W0用作负载均衡，根据一定规则会将请求转发给W1，W2，W3之间中的一台。

每个从防火墙节点接收到请求时: 首先检查该请求头和请求正文中是否存在攻击行为，如果有攻击行为则会阻断请求。

如果是合法请求，会再根据请求的内容类型来做判断。如果请求的是静态资源，则会在缓存单元中检查是否存在缓存，如果有缓存，则会直接返回而不向保护目标网站发起请求。如果请求的是动态资源或者无缓存资源，则会根据域名S1向服务器IP地址IP1发起请求。

当从原始服务器获取到返回内容的时候，会对http响应头和响应正文进行检测，如果发现有email信息，内部网络信息，web应用报错信息等各种信息泄漏和网页挂马等特征，则会阻断请求，而不会把原始内容返回给网络用户。

下面是本发明WEB应用防火墙的应用的一个示例。

把本发明的WEB应用防火墙的硬件接入互联网，可以作为一个在线服务, 互联网上的网站站长通过申请使用这个服务，来保护自己的网站避免受到WEB攻击的威胁。

网站站长可能拥有一个或多个互联网网站，承载网站的服务器部署在接入了互联网的机房，当需要防御WEB安全攻击的时候, 可以申请使用本发明的WEB应用防火墙。

首先，网站站长到本发明WEB应用防火墙的在线服务平台申请注册，填写自己网站的域名和实际IP等信息，提交给在线服务平台审核。

等待审核通过后，网站站长需要到域名服务商那里更改自己网站的DNS解析，将网站域名解析到本发明WEB应用防火墙所提供的一个IP地址（即，中心防火墙节点）。

等待解析生效后(正常情况下约2个小时)，就可以得到本发明WEB应用防火墙的防护。此时WEB应用防火墙会接管所有对保护目标网站的HTTP/HTTPS请求，并在进行安全分析处理之后，进行反向代理操作，将合法的HTTP/HTTPS请求发送到保护目标网站，并将该保护目标网站返回的数据返回到请求的客户端。

用户可以通过查看WEB应用防火墙提供的日志记录，可以看到该WEB应用防火墙接管到的HTTP/HTTPS请求信息，说明本发明WEB应用防火墙已经在正常工作。

在保护生效后，所有对保护目标网站的HTTP/HTTPS请求都不会直接对该保护目标网站进行连接，而是经过本发明的WEB应用防火墙进行检查。

另外，需要说明的是，对于本发明的中心防火墙节点1而言，其数目也可以为一个以上，也就是对不同的保护目标网站组分配不同的中心防火墙节点1或者按照一些规则来进行分配。此外，也可以将中心防火墙节点1配置成还具有从防火墙节点21…2n的功能。

虽然上述已经结合附图描述了本发明的具体实施例，但是本领域技术人员在不脱离本发明的精神和范围的情况下，可以对本发明进行各种改变、修改和等效替代。这些改变、修改和等效替代都意为落入随附的权利要求所限定的精神和范围之内。