一种基于云的web应用防火墙系统及其安全防护方法

一种基于云的web应用防火墙系统及其安全防护方法
【技术领域】
[0001]本发明涉及一种基于云的WEB应用防火墙系统及其安全防护方法。
【背景技术】
[0002]目前，传统的网络层防火墙无法拦截应用层(如http)的攻击，企业一般都需要部署WEB应用防火墙(WAF)来检测并拦截应用层的攻击，WEB应用防火墙一般有两种，一种是软件产品，无需对网络改造，直接安装在WEB应用服务器上，由于WEB应用防火墙性能依赖WEB应用服务器性能，且对WEB应用服务器的操作系统有要求，所以一般在小型WEB应用上使用；另外一种是硬件产品，需对网络进行改造，把硬件的WEB应用防火墙串联到网络中。
[0003]中国专利申请201110347688.7公开了一种WEB应用防火墙和WEB应用安全防护方法。该WEB应用防火墙包括中心防火墙节点和多个从防火墙节点，其中，中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一；从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。本发明WEB应用安全防护方法包括中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一；从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。
[0004]根据以上方法部署的WEB应用防火墙，存在以下问题:
[0005]1、成本问题，传统的WEB应用防火墙，一般是一个WEB应用系统使用一套WEB应用防火墙。
[0006]2、易用性，WEB应用防火墙部署安装，需要产品厂商专业人员部署安装，非专业人员比较难操作；
[0007]3、升级维护，由于应用层攻击的方法层出不穷，WEB应用防火墙的规则库也需要及时更新才能有效拦截应用层的攻击，传统的WEB应用防火墙一般是通过维护人员手工升级，但很多企业人员紧缺，所以规则库有的半年一年才升级一次，有的甚至从不升级。
[0008]4、性能，传统的WEB应用防火墙存在性能的瓶颈，如需提高WEB应用防火墙的性能，需要重新购买处理性能更佳的WEB应用防火墙来代替现有WEB应用防火墙，造成资源浪费。

【发明内容】

[0009]针对现有技术存在的问题，本发明的目的是提供一种基于云的WEB应用防火墙系统及其安全防护方法。
[0010]为了实现上述目的，本发明提供了一种基于云的WEB应用防火墙系统，该WEB应用防火墙系统由云防火墙引擎和防火墙控制中心组成；
[0011]其中，防火墙控制中心对云防火墙引擎进行配置和管理；
[0012]云防火墙引擎部署在由多台可扩展的高性能服务器组成的云上；云防火墙引擎对应用层的攻击进行检测和拦截。
[0013]本发明的WEB应用防火墙系统根据用户申请的资源情况，为用户分配不同的计算资源。
[0014]本发明的WEB应用防火墙系统的使用及维护需注意如下事项:
[0015]1、用户根据web应用系统的利记体育增加，向云WEB应用防火墙提供商购买新的计算资源，无需购买新设备和重新部署；
[0016]2、规则升级更新，当出现新的攻击手段时，由安全研究员统一更新总的检测规则，无需用户自己去更新；
[0017]3、当有web应用系统增加时，用户只需配置新系统的域名的NS记录或者CNAME记录。
[0018]根据本发明另一【具体实施方式】，WEB应用防火墙系统的检测规则包括总检测规则(root_rules)和私有检测规则(private_rules)；
[0019]总检测规则由WEB应用防火墙系统所有者的安全人员维护更新(对于一些公开或未公开的新的攻击手段)；
[0020]私有检测规则为每个WEB应用防火墙系统的用户根据自己业务系统的需求所制定的特别的检测规则。
[0021]根据本发明另一【具体实施方式】，当出现新的攻击手段时，由WEB应用防火墙系统所有者的安全人员统一更新所述总检测规则。
[0022]根据本发明另一【具体实施方式】，用户使用WEB应用防火墙系统时，将网站解析权交给防火墙控制中心；网站解析权，是指配置域名的NS记录或者CNAME记录的权力。
[0023]根据本发明另一【具体实施方式】，用户重新配置DNS指向后，WEB应用防火墙系统的部署安装生效。
[0024]根据本发明另一【具体实施方式】，当有web应用系统增加时，用户配置新系统的域名NS记录或者CNAME记录。
[0025]另一方面，本发明提供了使用上述WEB应用防火墙系统的安全防护方法，该安全防护方法包括如下步骤:
[0026]A、用户通过域名发出访问网站，防火墙控制中心返回云防火墙引擎的IP地址；
[0027]B、访问云防火墙引擎的IP，云防火墙引擎使用总检测规则和私有检测规则对访问请求进清除过滤；
[0028]C、云防火墙引擎向真实的应用服务器发起过滤后的安全请求，最后把请求的结果返回给用户。
[0029]与现有技术相比，本发明具有如下有益效果:
[0030]1、部署方式:传统的WEB应用防火墙是硬件设备或者软件产品，部署安装时，要么需要对网络改造，要么要对应用主机进行安装配置，都会对现在的网络或者设备有影响；本发明WEB应用防火墙系统部署，只需用户重新配置DNS指向就生效，方便快捷。
[0031]2、维护升级:由WEB应用防火墙系统提供商的安全员统一配置升级，比传统WEB应用防火墙能更早的拦截新型攻击。
[0032]3、性能:WEB应用防火墙系统性能出现瓶颈，只需购买更多的云资源，无需重新购买设备重新部署。
【附图说明】
[0033]图1为使用实施例1的WEB应用防火墙系统的安全防护方法的流程图。
【具体实施方式】
[0034]实施例1
[0035]本实施例的基于云的WEB应用防火墙系统由云防火墙引擎和防火墙控制中心组成；其中，防火墙控制中心对云防火墙引擎进行配置和管理；云防火墙引擎部署在由多台可扩展的高性能服务器组成的云上；云防火墙引擎对应用层的攻击进行检测和拦截。WEB应用防火墙系统的检测规则分为总检测规则(root_rules)和私有检测规则(private_rules)，总检测规则由云WEB应用防火墙所有者的安全人员维护更新(对于一些公开或未公开的新的攻击手段)，同时，每个云WEB应用防火墙用户也可以根据自己业务系统的需求制定特别的检测规则。
[0036]WEB应用防火墙系统根据用户申请的资源情况，为用户分配不同的计算资源。用户使用云WEB应用防火墙，只需要把网站的解析权交给云WEB应用防火墙控制中心，也就是配置域名的NS记录或者CNAME记录。
[0037]如图1所示，使用上述WEB应用防火墙系统的安全防护方法，包括如下步骤:
[0038]A、用户通过域名发出访问网站，防火墙控制中心返回云防火墙引擎的IP地址；
[0039]B、访问云防火墙引擎的IP，云防火墙引擎使用总检测规则和私有检测规则对访问请求进清除过滤；
[0040]C、云防火墙引擎向真实的应用服务器发起过滤后的安全请求，最后把请求的结果返回给用户。
[0041]本实施例的WEB应用防火墙系统的使用及维护需注意如下事项:
[0042]1、用户根据web应用系统的利记体育增加，向云WEB应用防火墙提供商购买新的计算资源，无需购买新设备和重新部署；
[0043]2、规则升级更新，当出现新的攻击手段时，由安全研究员统一更新总的检测规则，无需用户自己去更新；
[0044]3、当有web应用系统增加时，用户只需配置新系统的域名的NS记录或者CNAME记录。
[0045]本实施例的WEB应用防火墙系统具有如下有益效果:
[0046]1、部署方式:传统的WEB应用防火墙是硬件设备或者软件产品，部署安装时，要么需要对网络改造，要么要对应用主机进行安装配置，都会对现在的网络或者设备有影响；本实施例的WEB应用防火墙系统部署，只需用户重新配置DNS指向就生效，方便快捷；
[0047]2、维护升级:由WEB应用防火墙系统提供商的安全员统一配置升级，比传统WEB应用防火墙能更早的拦截新型攻击；
[0048]3、性能:WEB应用防火墙系统性能出现瓶颈，只需购买更多的云资源，无需重新购买设备重新部署。
[0049]以上是对本发明做的示例性描述，凡在不脱离本发明核心的情况下做出的简单变形或修改均落入本发明的保护范围。
【主权项】
1.一种基于云的WEB应用防火墙系统，其特征在于，所述WEB应用防火墙系统由云防火墙引擎和防火墙控制中心组成； 其中，所述防火墙控制中心对所述云防火墙引擎进行配置和管理； 所述云防火墙引擎部署在由多台可扩展的高性能服务器组成的云上；所述云防火墙引擎对应用层的攻击进行检测和拦截。2.如权利要求1所述的WEB应用防火墙系统，其特征在于，所述WEB应用防火墙系统的检测规则包括总检测规则和私有检测规则； 所述总检测规则由所述WEB应用防火墙系统所有者的安全人员维护更新； 所述私有检测规则为每个所述WEB应用防火墙系统的用户根据自己业务系统的需求所制定的特别的检测规则。3.如权利要求2所述的WEB应用防火墙系统，其特征在于，当出现新的攻击手段时，由所述WEB应用防火墙系统所有者的安全人员统一更新所述总检测规则。4.如权利要求1所述的WEB应用防火墙系统，其特征在于，用户使用所述WEB应用防火墙系统时，将网站解析权交给防火墙控制中心；所述网站解析权，是指配置域名的NS记录或者CNAME记录的权力。5.如权利要求1所述的WEB应用防火墙系统，其特征在于，用户重新配置DNS指向后，所述WEB应用防火墙系统的部署安装生效。6.如权利要求1所述的WEB应用防火墙系统，其特征在于，当有web应用系统增加时，用户配置新系统的域名NS记录或者CNAME记录。7.使用权利要求1-6之一所述WEB应用防火墙系统的安全防护方法，其特征在于，所述安全防护方法包括如下步骤: A、用户通过域名发出访问网站，所述防火墙控制中心返回所述云防火墙引擎的IP地址； B、访问所述云防火墙引擎的IP，所述云防火墙引擎使用所述总检测规则和所述私有检测规则对访问请求进清除过滤； C、所述云防火墙引擎向真实的应用服务器发起过滤后的安全请求，最后把请求的结果返回给用户。
【专利摘要】本发明提供了一种基于云的WEB应用防火墙系统，该WEB应用防火墙系统由云防火墙引擎和防火墙控制中心组成；其中，防火墙控制中心对云防火墙引擎进行配置和管理；云防火墙引擎部署在由多台可扩展的高性能服务器组成的云上；云防火墙引擎对应用层的攻击进行检测和拦截。与现有技术相比，本发明具有如下有益效果：1、本发明的WEB应用防火墙系统部署，只需用户重新配置DNS指向就生效，方便快捷；2、由WEB应用防火墙系统提供商的安全员统一配置升级，比传统WEB应用防火墙能更早的拦截新型攻击；3、WEB应用防火墙系统性能出现瓶颈，只需购买更多的云资源，无需重新购买设备重新部署。本发明同时提供了使用上述WEB应用防火墙系统的安全防护方法。
【IPC分类】H04L29/06, H04L29/08
【公开号】CN105391703
【申请号】CN201510724125
【发明人】蒙家晓, 蒋屹新, 郭晓斌, 许爱东, 陈华军, 关泽武, 陈富汉, 陈立明, 黄建理
【申请人】南方电网科学研究院有限责任公司, 中国南方电网有限责任公司电网技术研究中心
【公开日】2016年3月9日
【申请日】2015年10月28日