基于WAF系统功能实现自我保障Web子系统安全的系统及方法

本发明涉及信息安全技术，特别涉及基于WAF系统功能实现自我保障Web子系统安全的技术。

信息时代，网络对我们的生活的影响越来越深远，甚至是改变了我们的生活方方式，伴随而来的是各种Web应用的飞速扩张，而作为承载和发布各种Web应用的Web服务器不可避免的会成为不少人的攻击木目标，由此，防火墙应运而生。

防火墙目前分为硬件，软件和云WAF三种，其中，硬件防火墙是在服务器网络拓扑中串联到服务器，通过反向代理WEB服务器前端的方式，根据正则匹配自身规则库分析请求流量包，如果匹配规则成功，则拦截此次访问，部署较为简单，防护范围比价广，但是存在购买和维护成本较高，升级更新麻烦，容易漏报和误报问题；软件防火墙则是相关软件为服务器提供防护，配置简单，界面友好，使用门槛低，但存在内存占用率高，负载能力小，只能适配于小型和中型网站等；云WAF则是通过部署在公有云的云主机的WAF为WEB服务器提供防护，同时由于云WAF部署简单，WAF供应商更新升级，不占用服务器器资源，界面友好等优点，逐渐成为未来的发展趋势。但为其他Web服务器提供防护的云WAF也是作为一个服务器存在，也会成为被攻击的目标，而一旦WAF系统被攻破利用，那么WAF提供的防护就形同虚设，WAF系统自身安全也应当引起足够的重视。

在现有的WAF产品中，一般只是注重对于相关业务站点的安全防护，突出其针对业务源站的防护性能，和防护范围广，很少有针对WAF产品自身系统，尤其是需要对外开放的可以和用户交互的Web站点方面；但是由于Web管理系统里面保存着许多业务源站的基本信息如ip地址，开放端口，允许访问的接口。虽然访问Web管理站点的用户一般为网站管理员或者其他的运维人员，但如果攻击者这个利用网络攻击手段将其破坏，就会导致相关业务源站的重要敏感信息泄露。

本发明的目的是提供一种基于WAF系统功能实现自我保障Web子系统安全的系统及方法，解决目前当为Web服务器提供防护的云WAF系统受到攻击时，不能有效为Web服务器进行防护的问题。

本发明解决其技术问题，采用的技术方案是：基于WAF系统功能实现自我保障Web子系统安全的系统，包括用户浏览器及Web管理系统，还包括云WAF系统，所述云WAF系统包括DNS解析模块及引擎接入模块，所述DNS解析模块与用户浏览器连接，用户浏览器通过引擎接入模块与Web管理系统连接；

所述用户浏览器用于用户通过所述用户浏览器输入申请访问的Web管理系统的ip地址或网址域名，并将Web管理系统的ip地址或网址域名发送至DNS解析模块；

所述DNS解析模块用于当接收到Web管理系统的ip地址或网址域名时，将其解析为云WAF系统解析后的地址，并将云WAF系统解析后的地址返回至用户浏览器；

所述用户浏览器接收到云WAF系统解析后的地址时，通过该云WAF系统解析后的地址向引擎接入模块提交申请访问Web管理系统的请求；

所述引擎接入模块用于当接收到申请访问Web管理系统的请求时，对云WAF系统解析后的地址及请求的流量进行分析处理，并判断是否检测到威胁信息，若检测到威胁信息，则引擎接入模块执行相应的动作，若没检测到威胁信息，则将该申请访问Web管理系统的请求及正常的流量转发至Web管理系统，所述相应的动作包括对申请访问Web管理系统的请求进行拦截、警告及允许通过；

所述Web管理系统用于当接收到申请访问Web管理系统的请求时，将请求的页面内容通过引擎接入模块转发至用户浏览器，并进行展示。

进一步的是，该系统还包括日志系统及配置管理系统，所述日志系统分别与引擎接入模块及Web管理系统连接，所述配置管理系统分别与引擎接入模块及Web管理系统连接；

所述日志系统用于统计引擎接入模块对用户请求流量处理的结果，所述统计的结果包括用户的请求数，攻击数量，并发量及攻击流量大小，并对统计的结果以日志的形式进行存储；

所述日志系统还用于将统计的结果提供给Web管理系统，直观展示给运维人员；

所述配置管理系统用于从web管理系统处接受网站管理人员对网站的配置数据，并针对源站实现配置方案。

基于WAF系统功能实现自我保障Web子系统安全的方法，应用于上述基于WAF系统功能实现自我保障Web子系统安全的系统，包括如下步骤：

步骤1、用户使用用户浏览器申请访问Web管理系统；

步骤2、DNS解析模块将用户请求解析为设置后的云WAF系统解析后的地址,并返回给用户浏览器；

步骤3、用户浏览器通过云WAF系统解析后的地址访问到引擎接入模块，引擎接入模块将用户的请求进行分析处理，并判断是否检测到威胁信息，若检测到威胁信息，则引擎接入模块执行相应的动作，若没检测到威胁信息，则将该申请访问Web管理系统的请求及正常的流量转发至Web管理系统，所述相应的动作包括对申请访问Web管理系统的请求进行拦截、警告及允许通过；

步骤4、当Web管理系统接收到申请访问Web管理系统的请求时，将请求的页面内容通过引擎接入模块转发至用户浏览器，并进行展示。

本发明的有益效果是，通过上述基于WAF系统功能实现自我保障Web子系统安全的系统及方法，利用WAF系统自身的防护功能对其WEB管理系统进行防护，具有基于WAF系统本身防护种类的防护功能，并且不需要额外的安全投入，只需要针对Web管理系统的地址和DNS解析系统做一个设置，进行绑定和相关解析，即可实现，方法简单易行，无需太大成本，可行度高，适用范围较广。

并且，能够实现用WAF系统已知的引擎系统来对web管理进行防护，从而省去了额外的安全策略配置资源，达到方便，安全，节省成本的目的。

图1为本发明基于WAF系统功能实现自我保障Web子系统安全的系统的结构框图。

下面结合实施例及附图，详细描述本发明的技术方案。

本发明所述基于WAF系统功能实现自我保障Web子系统安全的系统，包括用户浏览器及Web管理系统，还包括云WAF系统，其结构框图参见图1，其中，云WAF系统包括DNS解析模块及引擎接入模块，DNS解析模块与用户浏览器连接，用户浏览器通过引擎接入模块与Web管理系统连接。这里，用户浏览器用于用户通过所述用户浏览器输入申请访问的Web管理系统的ip地址或网址域名，并将Web管理系统的ip地址或网址域名发送至DNS解析模块；DNS解析模块用于当接收到Web管理系统的ip地址或网址域名时，将其解析为云WAF系统解析后的地址，并将云WAF系统解析后的地址返回至用户浏览器；用户浏览器接收到云WAF系统解析后的地址时，通过该云WAF系统解析后的地址向引擎接入模块提交申请访问Web管理系统的请求；引擎接入模块用于当接收到申请访问Web管理系统的请求时，对云WAF系统解析后的地址及请求的流量进行分析处理，并判断是否检测到威胁信息，若检测到威胁信息，则引擎接入模块执行相应的动作，若没检测到威胁信息，则将该申请访问Web管理系统的请求及正常的流量转发至Web管理系统，所述相应的动作包括对申请访问Web管理系统的请求进行拦截、警告及允许通过；Web管理系统用于当接收到申请访问Web管理系统的请求时，将请求的页面内容通过引擎接入模块转发至用户浏览器，并进行展示。

上述系统中，还可以包括日志系统及配置管理系统，其中，日志系统分别与引擎接入模块及Web管理系统连接，配置管理系统分别与引擎接入模块及Web管理系统连接；

这里，日志系统用于统计引擎接入模块对用户请求流量处理的结果，统计的结果可以包括用户的请求数，攻击数量，并发量及攻击流量大小等，并对统计的结果以日志的形式进行存储；日志系统还用于将统计的结果提供给Web管理系统，直观展示给运维人员；配置管理系统用于从web管理系统处接受网站管理人员对网站的配置数据，并针对源站实现配置方案。

基于WAF系统功能实现自我保障Web子系统安全的方法，应用于上述基于WAF系统功能实现自我保障Web子系统安全的系统，包括如下步骤：

步骤1、用户使用用户浏览器申请访问Web管理系统；

步骤2、DNS解析模块将用户请求解析为设置后的云WAF系统解析后的地址,并返回给用户浏览器；

步骤3、用户浏览器通过云WAF系统解析后的地址访问到引擎接入模块，引擎接入模块将用户的请求进行分析处理，并判断是否检测到威胁信息，若检测到威胁信息，则引擎接入模块执行相应的动作，若没检测到威胁信息，则将该申请访问Web管理系统的请求及正常的流量转发至Web管理系统，所述相应的动作包括对申请访问Web管理系统的请求进行拦截、警告及允许通过；

步骤4、当Web管理系统接收到申请访问Web管理系统的请求时，将请求的页面内容通过引擎接入模块转发至用户浏览器，并进行展示。

实施例

本发明实施例基于WAF系统功能实现自我保障Web子系统安全的方法，在应用时，包括如下步骤：

(1)首先对于已经部署好的云WAF部分，明确对应Web管理系统的地址如系统ip地址，http://xx.xx.xx.xx:8080或者是网址域名如www.xx-WAF。

(2)在整个云WAF系统层面上的详细在设置DNS域名解析，即通过DNS解析的方式，将上述Web管理系统的地址解析到系统的引擎接入部分。

(3)DNS解析模块将Web管理系统的地址解析为检测分析模块的引擎系统的地址，并返回给浏览器引擎系统的地址，浏览器通过该地址访问此引擎系统。

(4)引擎系统将用户(Web管理站点访问人员)的访问请求进行分析处理，若无威胁，则将请求转发给后台的Web管理站点。

(5)Web管理站点服务器返回的页面内容再通过云WAF的引擎接入模块引擎系统转发给浏览器，并最终将请求的页面内容呈现在用户面前。