CN109067807A - 基于web应用防火墙过载的安全防护方法、装置及电子设备 - Google Patents
基于web应用防火墙过载的安全防护方法、装置及电子设备 Download PDFInfo
- Publication number
- CN109067807A CN109067807A CN201811206441.1A CN201811206441A CN109067807A CN 109067807 A CN109067807 A CN 109067807A CN 201811206441 A CN201811206441 A CN 201811206441A CN 109067807 A CN109067807 A CN 109067807A
- Authority
- CN
- China
- Prior art keywords
- system resource
- module
- processing module
- web application
- service processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0888—Throughput
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0894—Packet rate
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于WEB应用防火墙过载的安全防护方法、装置及电子设备,涉及信息安全技术领域,基于WEB应用防火墙过载的安全防护方法,包括:监控WEB应用防火墙的***资源;根据***资源的使用状态,判断导致***资源异常的目标业务处理模块;目标业务处理模块包括:网桥模块及WEB代理模块中至少一种;向与目标业务处理模块对应的bypass接口发送调整指令,以使bypass接口对超出WEB应用防火墙处理能力的部分流量进行放行。本发明通过监控***资源使用情况,在资源耗尽之前,对相应的业务处理模块的bypass接口进行调整,从而将超出处理能力的部分WEB流量放行至服务器,能够消除WEB应用防火墙性能问题对客户WEB业务的影响。
Description
技术领域
本发明涉及信息安全技术领域,尤其是涉及一种基于WEB应用防火墙过载的安全防护方法、装置及电子设备。
背景技术
WEB应用防火墙作为一个串接在用户网络中的网关型设备,自身的性能问题越来越受到重视,其性能不足已经是WEB应用防火墙影响WEB业务正常性的主要因素。当客户面临业务高峰或者被人DDOS(Distributed denial of service attack,分布式拒绝服务攻击)攻击时,由于WEB应用防火墙节点性能不足,常常会造成业务中断的严重事件发生,影响客户的WEB业务。
针对上述技术问题,目前还没有有效的解决方法。
发明内容
有鉴于此,本发明的目的在于提供一种基于WEB应用防火墙过载的安全防护方法、装置及电子设备,能够通过监控***资源使用情况,在资源耗尽之前,将超出处理能力的部分WEB流量放行至服务器,消除WEB应用防火墙性能问题对客户WEB业务的影响。
第一方面,本发明实施例提供了一种基于WEB应用防火墙过载的安全防护方法,包括:
监控WEB应用防火墙的***资源;
根据***资源的使用状态,判断导致***资源异常的目标业务处理模块;目标业务处理模块包括:网桥模块及WEB代理模块中至少一种;
向与目标业务处理模块对应的bypass接口发送调整指令,以使bypass接口对超出WEB应用防火墙处理能力的部分流量进行放行。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,根据***资源的使用状态,判断导致***资源异常的目标业务处理模块为网桥模块的步骤,包括:
获取***资源的指标值;指标值至少包括以下之一:并发连接数、新建连接速率、吞吐量;
当指标值中至少一项超过相应的预设阈值时,判断导致***资源异常的目标业务处理模块为网桥模块。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,根据***资源的使用状态,判断导致***资源异常的目标业务处理模块为WEB代理模块的步骤,包括:
获取CPU负载值和存储器内存值;
当CPU负载值和存储器内存值中任一项超过相应的预设阈值时,判断导致***资源异常的目标业务处理模块为WEB代理模块。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,网桥模块中设置有第一配置文件;第一配置文件用于用户写入指标值阈值;指标值包括:并发连接数、新建连接速率和吞吐量。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,WEB代理模块中设置有第二配置文件;第二配置文件用于用户写入CPU负载值阈值、存储器内存值阈值及bypass执行的指令配置内容。
第二方面,本发明实施例还提供一种基于WEB应用防火墙过载的安全防护装置,包括:
监控模块,用于监控WEB应用防火墙的***资源;
判断模块,用于根据***资源的使用状态,判断导致***资源异常的目标业务处理模块;目标业务处理模块包括:网桥模块及WEB代理模块中至少一种;
调整模块,用于向与目标业务处理模块对应的bypass接口发送调整指令,以对超出WEB应用防火墙处理能力的部分流量进行放行。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,判断模块包括:
第一获取模块,用于获取***资源的指标值;指标值至少包括以下之一:并发连接数、新建连接速率、吞吐量;
第一判断模块,用于在指标值中至少一项超过相应的预设阈值时,判断导致***资源异常的目标业务处理模块为网桥模块。
结合第二方面,本发明实施例提供了第二方面的第二种可能的实施方式,其中,判断模块还包括:
第二获取模块,用于获取CPU负载值和存储器内存值;
第二判断模块,用于在CPU负载值和存储器内存值中任一项超过相应的预设阈值时,判断导致***资源异常的目标业务处理模块为WEB代理模块。
第三方面,本发明实施例还提供一种电子设备,包括存储器、处理器,存储器上存储有可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述第一方面及第一方面的任一种可能的实施方式所述的方法的步骤。
第四方面,本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,程序代码使处理器执行第一方面及第一方面的任一种可能的实施方式所述的方法。
本发明实施例带来了以下有益效果:
本发明实施例提供的基于WEB应用防火墙过载的安全防护方法包括:监控WEB应用防火墙的***资源;根据***资源的使用状态,判断导致***资源异常的目标业务处理模块;目标业务处理模块包括:网桥模块及WEB代理模块中至少一种;向与目标业务处理模块对应的bypass接口发送调整指令,以使bypass接口对超出WEB应用防火墙处理能力的部分流量进行放行。本发明通过监控***资源使用情况,在资源耗尽之前,对相应的业务处理模块的bypass接口进行调整,从而将超出处理能力的部分WEB流量放行至服务器,能够消除WEB应用防火墙性能问题对客户WEB业务的影响。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种基于WEB应用防火墙过载的安全防护方法的流程图;
图2为本发明实施例一提供的另一种基于WEB应用防火墙过载的安全防护方法的流程图;
图3为本发明实施例一提供的另一种基于WEB应用防火墙过载的安全防护方法的流程图;
图4为本发明实施例二提供的一种基于WEB应用防火墙过载的安全防护装置的示意图;
图5为本发明实施例三提供的一种电子设备的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
由于WEB应用防火墙节点性能不足,常常会造成业务中断的严重事件发生,影响客户的WEB业务。基于此,本发明实施例提供一种基于WEB应用防火墙过载的安全防护方法、装置及电子设备,通过监控***资源使用情况,在资源耗尽之前,对相应的业务处理模块的bypass接口进行调整,从而将超出处理能力的部分WEB流量放行至服务器,能够消除WEB应用防火墙性能问题对客户WEB业务的影响。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于WEB应用防火墙过载的安全防护方法进行详细介绍。
实施例一:
本发明实施例提供了一种基于WEB应用防火墙过载的安全防护方法,即一种基于WEB应用防火墙过载的安全机制。参见图1所示,该方法包括以下步骤:
S101:监控WEB应用防火墙的***资源。
在具体应用中,业务流量在WEB应用防火墙内部,主要经过网桥模块(如webstat)、WEB代理模块(如webproxy)、apache/nginx三个模块。当业务流量过大时,三个模块将CPU或内存资源耗尽。因此,解决问题的思路是,在WEB应用防火墙资源耗尽之前,将超出处理能力的部分流量放行。具体的,首先监控WEB应用防火墙的***资源,即CPU和内存。
S102:根据***资源的使用状态,判断导致***资源异常的目标业务处理模块。
其中,目标业务处理模块包括:网桥模块及WEB代理模块中至少一种。在监测到WEB应用防火墙的***资源的使用状态后,进一步根据使用状态,判断导致资源异常的目标业务处理模块,以便对引起***资源异常的目标业务处理模块的bypass接口进行调整。当CPU和内存即将用尽时,可以判断出***资源发生异常,具体的根据使用状态,判断导致资源异常的目标业务处理模块的过程至少包括以下两种情况:
(1)根据***资源的使用状态,判断导致***资源异常的目标业务处理模块为网桥模块的步骤,具体包括以下步骤,参见图2所示:
S201:获取***资源的指标值;指标值至少包括以下之一:并发连接数、新建连接速率、吞吐量。
S202:当指标值中至少一项超过相应的预设阈值时,判断导致***资源异常的目标业务处理模块为网桥模块。
在特别大的并发、新建流量下,网桥模块本身性能可能不足;所以,有必要在网桥模块上提供过载bypass功能,用于跳过检测引擎,直接访问保护站点,将超出***处理能力的连接直接二层转发。
具体如何判断是否超出***处理能力,本实施例主要采用静态的三个指标,包括:并发连接数、新建连接速率、吞吐量。当这三个指标任一超出相应的预设阈值时,判定当前流量超出***处理能力,即WEB应用防火墙是无力的。
之后,如果判定此时的WEB应用防火墙是无力的,那么将当前的这个连接bypass,否则正常代理;需要注意的是,是bypass还是正常代理,这个方向,必须以连接为单位,而不能以包为单位,就是说,一个连接持续期间,不管***状态如何变化,这个连接上的所有包必须采取统一的方向。
此外,网桥模块还提供三个proc文件,即第一配置文件,供用户态分别写入三个指标的值,作为指标阈值,分别是:
a.并发连接数 /waf/conn_limit;
b.新建连接速率 /waf/freq_limit;
c.吞吐量 /waf/throughput_limit。
需要注意的是,网桥模块启动时读取配置,在网桥模块运行期间不接收配置重写。
(2)根据***资源的使用状态,判断导致***资源异常的目标业务处理模块为WEB代理模块的步骤,具体包括以下步骤,参见图3所示:
S301:获取CPU负载值和存储器内存值。
WEB代理模块中设置有第二配置文件;第二配置文件用于用户写入CPU负载值阈值、存储器内存值阈值及bypass执行的指令配置内容。
S302:当CPU负载值和存储器内存值中任一项超过相应的预设阈值时,判断导致***资源异常的目标业务处理模块为WEB代理模块。
WEB代理模块支持配置项增加,如:
cpu_load_water<load>
mem_load_water<mem>
通过实时检查以下文件:
/proc/loadavg
/proc/meminfo
获取当前CPU负载值以及存储器内存值,当二者任一超过配置中设定的阈值时,判断导致***资源异常的目标业务处理模块为WEB代理模块。WEB代理模块将当前连接bypass,否则将当前连接发往检测引擎。
除了设置CPU负载值以及存储器内存值
cpu_load_water<load>
mem_load_water<mem>
之外,增加了,bypass执行的指令配置项,
change_backend_overload<from_be><to_be>
其参数有二,from_be、to_be
其意义在于指定:
当连接要发往后端from_be,但是其新建或并发超出上限时,
将连接重定向发往后端to_be。
例如,以下为一个指令的配置实例:
listen inhttp1#此配置项需要放在frontend中
...
change_backend_overloadrcheckno_check
...
另,需要在各frontend块中加入此配置项,指定关系:
change_backend_overload rcheck_site_1ncheck_site_1
change_backend_overload rcheck_site_2ncheck_site_2
...
change_backend_overloadrcheckncheck。
S103:向与目标业务处理模块对应的bypass接口发送调整指令,以使bypass接口对超出WEB应用防火墙处理能力的部分流量进行放行。
在通过上述步骤确定出导致***资源异常的目标业务处理模块后,进一步,向与目标业务处理模块对应的bypass接口发送调整指令,以调整bypass接口的状态,从而对超出WEB应用防火墙处理能力的部分流量进行放行。
本发明实施例所提供的基于WEB应用防火墙过载的安全防护方法,通过监控***资源使用情况,在资源耗尽之前,对相应的业务处理模块的bypass接口进行调整,从而将超出处理能力的部分WEB流量放行至服务器,能够消除WEB应用防火墙性能问题对客户WEB业务的影响。
实施例二:
本发明实施例还提供一种基于WEB应用防火墙过载的安全防护装置,参见图4所示,该装置包括:监控模块41、判断模块42和调整模块43。
监控模块41,用于监控WEB应用防火墙的***资源;判断模块42,用于根据***资源的使用状态,判断导致***资源异常的目标业务处理模块;目标业务处理模块包括:网桥模块及WEB代理模块中至少一种;调整模块43,用于向与目标业务处理模块对应的bypass接口发送调整指令,以对超出WEB应用防火墙处理能力的部分流量进行放行。
判断模块42具体包括:第一获取模块和第一判断模块。
其中,第一获取模块,用于获取***资源的指标值;指标值至少包括以下之一:并发连接数、新建连接速率、吞吐量;第一判断模块,用于在指标值中至少一项超过相应的预设阈值时,判断导致***资源异常的目标业务处理模块为网桥模块。
此外,判断模块42还包括:第二获取模块和第二判断模块。
其中,第二获取模块,用于获取CPU负载值和存储器内存值;第二判断模块,用于在CPU负载值和存储器内存值中任一项超过相应的预设阈值时,判断导致***资源异常的目标业务处理模块为WEB代理模块。
本发明实施例所提供的基于WEB应用防火墙过载的安全防护装置中,各个模块与前述基于WEB应用防火墙过载的安全防护方法具有相同的技术特征,因此,同样可以实现上述功能。本装置中各个模块的具体工作过程参见上述方法实施例,在此不再赘述。
实施例三:
本发明实施例提供一种电子设备,参见图5所示,该电子设备包括:处理器50,存储器51,总线52和通信接口53,所述处理器50、通信接口53和存储器51通过总线52连接;处理器50用于执行存储器51中存储的可执行模块,例如计算机程序。处理器执行计算机程序时实现如方法实施例所述的方法的步骤。
其中,存储器51可能包含高速随机存取存储器(RAM,RandomAccessMemory),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口53(可以是有线或者无线)实现该***网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线52可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器51用于存储程序,所述处理器50在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器50中,或者由处理器50实现。
处理器50可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器50中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器50可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器51,处理器50读取存储器51中的信息,结合其硬件完成上述方法的步骤。
本发明实施例所提供的基于WEB应用防火墙过载的安全防护方法的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置及电子设备的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
附图中的流程图和框图显示了根据本发明的多个实施例方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于WEB应用防火墙过载的安全防护方法,其特征在于,包括:
监控WEB应用防火墙的***资源;
根据所述***资源的使用状态,判断导致所述***资源异常的目标业务处理模块;所述目标业务处理模块包括:网桥模块及WEB代理模块中至少一种;
向与所述目标业务处理模块对应的bypass接口发送调整指令,以使所述bypass接口对超出所述WEB应用防火墙处理能力的部分流量进行放行。
2.根据权利要求1所述的方法,其特征在于,根据所述***资源的使用状态,判断导致所述***资源异常的目标业务处理模块为网桥模块的步骤,包括:
获取***资源的指标值;所述指标值至少包括以下之一:并发连接数、新建连接速率、吞吐量;
当所述指标值中至少一项超过相应的预设阈值时,判断导致所述***资源异常的目标业务处理模块为网桥模块。
3.根据权利要求1所述的方法,其特征在于,根据所述***资源的使用状态,判断导致所述***资源异常的目标业务处理模块为WEB代理模块的步骤,包括:
获取CPU负载值和存储器内存值;
当所述CPU负载值和所述存储器内存值中任一项超过相应的预设阈值时,判断导致所述***资源异常的目标业务处理模块为WEB代理模块。
4.根据权利要求1所述的方法,其特征在于,所述网桥模块中设置有第一配置文件;所述第一配置文件用于用户写入指标值阈值;所述指标值包括:并发连接数、新建连接速率和吞吐量。
5.根据权利要求1所述的方法,其特征在于,所述WEB代理模块中设置有第二配置文件;所述第二配置文件用于用户写入CPU负载值阈值、存储器内存值阈值及bypass执行的指令配置内容。
6.一种基于WEB应用防火墙过载的安全防护装置,其特征在于,包括:
监控模块,用于监控WEB应用防火墙的***资源;
判断模块,用于根据所述***资源的使用状态,判断导致所述***资源异常的目标业务处理模块;所述目标业务处理模块包括:网桥模块及WEB代理模块中至少一种;
调整模块,用于向与所述目标业务处理模块对应的bypass接口发送调整指令,以对超出所述WEB应用防火墙处理能力的部分流量进行放行。
7.根据权利要求6所述的装置,其特征在于,所述判断模块包括:
第一获取模块,用于获取***资源的指标值;所述指标值至少包括以下之一:并发连接数、新建连接速率、吞吐量;
第一判断模块,用于在所述指标值中至少一项超过相应的预设阈值时,判断导致所述***资源异常的目标业务处理模块为网桥模块。
8.根据权利要求6所述的装置,其特征在于,所述判断模块还包括:
第二获取模块,用于获取CPU负载值和存储器内存值;
第二判断模块,用于在所述CPU负载值和所述存储器内存值中任一项超过相应的预设阈值时,判断导致所述***资源异常的目标业务处理模块为WEB代理模块。
9.一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至5任一项所述的方法的步骤。
10.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行所述权利要求1至5任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811206441.1A CN109067807A (zh) | 2018-10-16 | 2018-10-16 | 基于web应用防火墙过载的安全防护方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811206441.1A CN109067807A (zh) | 2018-10-16 | 2018-10-16 | 基于web应用防火墙过载的安全防护方法、装置及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109067807A true CN109067807A (zh) | 2018-12-21 |
Family
ID=64765146
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811206441.1A Pending CN109067807A (zh) | 2018-10-16 | 2018-10-16 | 基于web应用防火墙过载的安全防护方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109067807A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110855796A (zh) * | 2019-11-22 | 2020-02-28 | 北京浪潮数据技术有限公司 | 一种云平台web防护方法、***、设备及计算机介质 |
CN111314290A (zh) * | 2019-12-30 | 2020-06-19 | 北京长亭未来科技有限公司 | 一种web应用防火墙业务连续性保护方法、装置及电子设备 |
CN111368301A (zh) * | 2020-03-03 | 2020-07-03 | 深信服科技股份有限公司 | 一种病毒查杀方法、装置、设备及可读存储介质 |
CN111970303A (zh) * | 2020-08-28 | 2020-11-20 | 杭州安恒信息技术股份有限公司 | 一种业务站点模式切换方法、装置和计算机可读存储介质 |
CN112165450A (zh) * | 2020-08-27 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | Web应用防火墙的安全防护方法、装置和电子装置 |
CN112165460A (zh) * | 2020-09-10 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 流量检测方法、装置、计算机设备和存储介质 |
CN113691517A (zh) * | 2021-08-17 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种bypass的通信管理方法、装置、设备及介质 |
CN114546498A (zh) * | 2021-12-31 | 2022-05-27 | 广州芯德通信科技股份有限公司 | 一种基于***启动异常和处理方法、***及平台 |
CN114640700A (zh) * | 2020-11-30 | 2022-06-17 | 腾讯科技(深圳)有限公司 | 一种调用频次控制方法及装置 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101060531A (zh) * | 2007-05-17 | 2007-10-24 | 华为技术有限公司 | 网络设备攻击防范的方法和装置 |
CN101102264A (zh) * | 2006-07-04 | 2008-01-09 | 华为技术有限公司 | 一种以太网转发数据的方法和一种以太网*** |
CN101483655A (zh) * | 2009-02-10 | 2009-07-15 | 杭州华三通信技术有限公司 | 一种互联网组管理协议报文传输方法和代理设备 |
CN101626402A (zh) * | 2009-08-10 | 2010-01-13 | 杭州华三通信技术有限公司 | 一种分布式设备的三层代理转发方法及分布式设备 |
CN104518897A (zh) * | 2013-09-30 | 2015-04-15 | 中国电信股份有限公司 | 虚拟防火墙的资源管理优化处理方法和装置 |
CN105208685A (zh) * | 2015-09-06 | 2015-12-30 | 杭州敦崇科技股份有限公司 | 代理ap的实现方法 |
CN106789981A (zh) * | 2016-12-07 | 2017-05-31 | 北京奇虎科技有限公司 | 基于waf的流量控制方法、装置及*** |
US20180176826A1 (en) * | 2013-07-08 | 2018-06-21 | Samsung Electronics Co., Ltd | Apparatus and method for controlling control overload in wlan systems |
-
2018
- 2018-10-16 CN CN201811206441.1A patent/CN109067807A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101102264A (zh) * | 2006-07-04 | 2008-01-09 | 华为技术有限公司 | 一种以太网转发数据的方法和一种以太网*** |
CN101060531A (zh) * | 2007-05-17 | 2007-10-24 | 华为技术有限公司 | 网络设备攻击防范的方法和装置 |
CN101483655A (zh) * | 2009-02-10 | 2009-07-15 | 杭州华三通信技术有限公司 | 一种互联网组管理协议报文传输方法和代理设备 |
CN101626402A (zh) * | 2009-08-10 | 2010-01-13 | 杭州华三通信技术有限公司 | 一种分布式设备的三层代理转发方法及分布式设备 |
US20180176826A1 (en) * | 2013-07-08 | 2018-06-21 | Samsung Electronics Co., Ltd | Apparatus and method for controlling control overload in wlan systems |
CN104518897A (zh) * | 2013-09-30 | 2015-04-15 | 中国电信股份有限公司 | 虚拟防火墙的资源管理优化处理方法和装置 |
CN105208685A (zh) * | 2015-09-06 | 2015-12-30 | 杭州敦崇科技股份有限公司 | 代理ap的实现方法 |
CN106789981A (zh) * | 2016-12-07 | 2017-05-31 | 北京奇虎科技有限公司 | 基于waf的流量控制方法、装置及*** |
Non-Patent Citations (3)
Title |
---|
DG瑞恩: "《设备自身安全功能》", 《HTTPS://BLOG.51CTO.COM/U_8239783/1335092》 * |
S00004159: "《USG5300启用UTM过载保护功能有何作用》", 《HTTPS://SUPPORT.HUAWEI.COM/ENTERPRISE/EN/KNOWLEDGE/KB1000009525》 * |
杨飞: "《高校WAF+IPS+漏洞扫描安全防护体系的研究与应用》", 《电子测试》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110855796A (zh) * | 2019-11-22 | 2020-02-28 | 北京浪潮数据技术有限公司 | 一种云平台web防护方法、***、设备及计算机介质 |
CN111314290A (zh) * | 2019-12-30 | 2020-06-19 | 北京长亭未来科技有限公司 | 一种web应用防火墙业务连续性保护方法、装置及电子设备 |
CN111314290B (zh) * | 2019-12-30 | 2022-06-24 | 北京长亭未来科技有限公司 | 一种web应用防火墙业务连续性保护的方法、装置及电子设备 |
CN111368301A (zh) * | 2020-03-03 | 2020-07-03 | 深信服科技股份有限公司 | 一种病毒查杀方法、装置、设备及可读存储介质 |
CN112165450A (zh) * | 2020-08-27 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | Web应用防火墙的安全防护方法、装置和电子装置 |
CN112165450B (zh) * | 2020-08-27 | 2023-04-21 | 杭州安恒信息技术股份有限公司 | Web应用防火墙的安全防护方法、装置和电子装置 |
CN111970303A (zh) * | 2020-08-28 | 2020-11-20 | 杭州安恒信息技术股份有限公司 | 一种业务站点模式切换方法、装置和计算机可读存储介质 |
CN112165460A (zh) * | 2020-09-10 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 流量检测方法、装置、计算机设备和存储介质 |
CN114640700A (zh) * | 2020-11-30 | 2022-06-17 | 腾讯科技(深圳)有限公司 | 一种调用频次控制方法及装置 |
CN113691517A (zh) * | 2021-08-17 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种bypass的通信管理方法、装置、设备及介质 |
CN113691517B (zh) * | 2021-08-17 | 2022-11-08 | 北京天融信网络安全技术有限公司 | 一种bypass的通信管理方法、装置、设备及介质 |
CN114546498A (zh) * | 2021-12-31 | 2022-05-27 | 广州芯德通信科技股份有限公司 | 一种基于***启动异常和处理方法、***及平台 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109067807A (zh) | 基于web应用防火墙过载的安全防护方法、装置及电子设备 | |
CN105745870B (zh) | 从用于检测大流的串行多级过滤器去除头部过滤器以便清除流以实现延长操作 | |
CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
US11012409B2 (en) | Anomaly detection in a controller area network | |
CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
US9825841B2 (en) | Method of and network server for detecting data patterns in an input data stream | |
CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
CN111385121B (zh) | 一种操作管理维护iOAM报文的传输方法及相应装置 | |
WO2018200476A1 (en) | Automated code verification and machine learning in software defined networks | |
CN104424438B (zh) | 一种反病毒文件检测方法、装置及网络设备 | |
CN109309591B (zh) | 流量数据统计方法、电子设备及存储介质 | |
CN109657463B (zh) | 一种报文洪泛攻击的防御方法及装置 | |
WO2019192133A1 (zh) | 电子装置、数据链路风险预警方法及存储介质 | |
JPWO2012147909A1 (ja) | ネットワーク装置、通信システム、異常トラヒックの検出方法およびプログラム | |
EP3266172A1 (en) | Application of network flow rule action based on packet counter | |
CN108965318A (zh) | 检测工业控制网络中未授权接入设备ip的方法及装置 | |
JP6067195B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
CN103026679B (zh) | 网络设备中检测到的模式的减轻 | |
US9401854B2 (en) | System and method for slow link flap detection | |
CN101272386B (zh) | 一种前缀匹配算法 | |
CN109361658A (zh) | 基于工控行业的异常流量信息存储方法、装置及电子设备 | |
CN116743406A (zh) | 一种网络安全预警方法、装置、存储介质和计算机设备 | |
CN109302401A (zh) | 信息安全防护方法及装置 | |
CN109361674A (zh) | 旁路接入的流式数据检测方法、装置以及电子设备 | |
CN112839049B (zh) | Web应用防火墙防护方法、装置、存储介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181221 |
|
RJ01 | Rejection of invention patent application after publication |