[发明专利]WEB应用防火墙和WEB应用安全防护方法

说明书

技术领域

本发明总体上涉及针对Web网站群的云安全防护领域，尤其涉及一种Web应用防火墙和WEB应用安全防护方法。

背景技术

当前网络安全面临的最大挑战在于如何缓解针对WEB 业务的各类安全威胁，如何高效保障WEB 应用的可用性和可靠性，如何优化业务资源和提高应用系统敏捷性等等。面对此类问题，国外和国内制定并推广了对应的PCI DSS安全标准、公安部第82号令，同时也衍生了对应的WEB应用防火墙、网页防篡改技术等等。

WEB应用防火墙（WEB Application Firewall，也可称为网站应用级入侵防御系统）。WEB应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为WEB应用提供保护的一种产品。

传统WEB应用防火墙的形态分为软件和硬件。按部署方式，WEB应用防火墙一般可以分为桥接方式和旁路方式。无论采用哪种方式，WEB应用防火墙的架构方案主要是为了让WEB应用防火墙对现有服务造成的影响最小并且部署简单，另外还能够发挥其应有的防护功能。

下面分别介绍WEB应用防火墙的这两种部署方式。

一、桥接方式

在桥接架构（又叫主动配置）中，WEB应用防火墙被直接放在请求方（例如浏览器客户端）与Web应用服务器之间的流量路径当中。WEB应用防火墙对应用请求和响应进行检查之后再根据检查结果决定是否对其进行传送。使用桥接方式可以对请求进行阻断，阻止攻击行为。

1.软件嵌入式

桥接方式是使用软件嵌入式把WEB应用防火墙安装在WEB应用服务器的操作系统中，对系统所接收的所有HTTP请求进行接管处置，此方式局限于操作系统与WEB服务软件的类型，只能在防火墙软件的兼容范围内进行安装部署，并且对操作系统中其他软件有可能存在冲突的风险。

2.硬件设备桥接

硬件设备桥接是使用专用硬件设备来桥接部署，可选择的方式：透明模式（即无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直接安装和放置到网络中使用，如交换机一样不需要设置IP地址。）和HTTP反向代理模式等等。这些方式需要将硬件设备串联在WEB应用服务器之前，将需要到达WEB应用服务器的请求进行接管处理，判断攻击行为后再决定是否通过请求。该部署模式会因防火墙设备单节点错误而导致WEB服务中断，并且WEB服务的性能瓶颈受到防火墙设备的性能限制，不能对虚拟主机或者分布式云计算部署的WEB应用服务器进行防护，无法进行并行计算处理，只能部署单台设备加上备机，所以系统的扩展性较差，会导致性能瓶颈，也可能因单点错误而造成服务中断。

二、旁路方式

旁路方式又可被称为被动模式，这是因为防火墙设备不在流量路径中，而是从分接端口或跨接端口来监控流量。

旁路方式常常用于收集数据，以便之后用于调查或取证分析。这种架构模式的一个主要优点是，它并不干扰网络流量或吞吐量，这是因为它不是直接嵌入的。而另一方面，不在流量路径当中意味着，这种解决方案无法执行主动的桥接方式部署所能执行的那种阻止操作。不过，该旁路方式可以支持某些形式的阻止操作，比如连接重置，或者通过联系到另一个系统（如网络防火墙），然后让该系统执行阻止操作。

由于旁路方式无法进行实时流量的处置，因此主要用于检测，而非防护。

发明内容

本发明要解决的主要技术问题是提供一种能够防止由于单点错误而造成服务中断的WEB应用防火墙和WEB应用安全防护方法。

为了解决上述问题，在本发明的一方面，本发明WEB应用防火墙的技术方案包括中心防火墙节点和多个从防火墙节点，其中，

所述中心防火墙节点接收网络用户向保护目标网站发起的请求并按照一定规则把所述请求转发给多个从防火墙节点之一；

所述从防火墙节点对接收的请求进行安全检测以阻止或者允许所述请求对保护目标网站的访问。

其中，所述中心防火墙节点和多个从防火墙节点在物理上位于不同的位置。

优选地，所述从防火墙节点的数目根据保护目标网站的数目来配置。

进一步地，所述从防火墙节点包括检测单元和反向代理单元，其中，

所述检测单元用于对所接收的请求的http头和http正文进行检测，如果发现有攻击，则阻止所接收的请求，否则把所接收的请求发送给所述反向代理单元；

所述反向代理单元根据接收到的请求向保护目标网站发起请求。

此外，所述从防火墙节点还包括：

缓存单元，用于缓存历史获取过的保护目标网站的页面数据；