[发明专利]一种安全访问方法及网络防火墙系统

说明书

本发明提供一种安全访问方法及网络防火墙系统，包括：接收客户端通过不同网络传输协议发送的第一请求信息；解析第一请求信息，并判断第一请求信息的协议类型与服务类型是否相同；根据第一请求信息的协议类型选择并执行协议转换方法，得到与服务类型相同的第二请求信息；解析第二请求信息，并转发至防火墙模块进行处理，根据防火墙规则判断是否允许第二请求信息访问服务器端。本发明拓展了网络防火墙处理不同传输协议的适用范围，以满足更多云环境场景下数据传输的安全性需求。

技术领域

本发明涉及计算机技术领域，尤其涉及一种安全访问方法及网络防火墙系统。

背景技术

Web应用防火墙(Web Application Firewall，WAF)用于处理传统防火墙无法解决的Web应用安全问题。企业通过WAF对网站进行云安全防护，例如防止跨站脚本攻击、SQL注入防护、缓冲区溢出攻击防护、Web入侵防护、域名系统(Domain Name System，DNS)防护、WEB网络层拒绝服务攻击(Distributed Denial of Service，DDoS)防护、WEB应用层拒绝服务攻击(Challenge Collapsar，CC)防护等。

相比较于工作在网络层的传统防火墙，WAF工作在应用层，通过对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断或者发送警告。相比处理客户端与服务器端连接请求程序的代理防火墙，WAF的处理速度更快。

综上，现有的Web应用防火墙(WAF)相比较于传统防火墙具有安全性高、速度快的优势，但其也存在适用范围狭窄的缺点，具体包括：

(1)云环境下通常存在多种不同的传输协议，而WAF只能检测和处理以Http传输协议传输的数据；

(2)攻击者可以通过构造非Http协议或者利用Http协议解析中的不一致进行攻击；Http协议解析不一致是指，某些攻击数据包被WAF认为并非Http协议内容，不对其进行检测，而服务器端应用对协议存在一定的容错性，导致攻击数据包仍被认为是Http协议内容，

在应用端被解析后造成攻击。

因此，WAF的现有技术中存在上述亟待本领域技术人员解决的技术问题。

发明内容

为解决上述WAF适用范围狭窄的缺陷，本发明提供了一种安全访问方法及网络防火墙系统，其目的在于能够在云环境下适配不同的传输协议，并保证数据传输的安全性。

为了实现上述目的，本发明采用的一种技术方案是：一种安全访问方法，所述方法用于控制至少一个客户端与服务器端的通信，包括：接收所述客户端通过不同网络传输协议发送的第一请求信息；解析所述第一请求信息，并判断所述第一请求信息的协议类型与服务类型是否相同；根据所述第一请求信息的协议类型选择并执行协议转换方法，得到与所述服务类型相同的第二请求信息；解析所述第二请求信息，并转发至防火墙模块，根据防火墙规则判断是否允许所述第二请求信息访问所述服务器端；若允许所述第二请求信息访问，则返回访问结果；否则发送阻断命令和/或警告。

在优选实施例中，所述根据所述第一请求信息的协议类型选择并执行协议转换方法，得到与所述服务类型相同的第二请求信息包括：若所述第一请求信息的协议类型与服务类型不相同，则将所述第一请求信息转换为与所述服务类型相同的所述第二请求信息；若所述第一请求信息的类型与服务类型相同，则将所述第一请求信息直接作为所述第二请求信息。

在优选实施例中，所述服务类型为Http请求，所述第二请求信息按照key-value对的形式进行缓存。

在优选实施例中，所述第一请求信息至少包括：根据Http协议发送的请求信息、或根据Https协议发送的请求信息、或根据Http1.0协议发送的请求信息、或根据Http2.0协议发送的请求信息、或根据Web Socket协议发送的请求信息。