CN110213375A - 一种基于云waf的ip访问控制的方法、装置及电子设备 - Google Patents
一种基于云waf的ip访问控制的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN110213375A CN110213375A CN201910484928.4A CN201910484928A CN110213375A CN 110213375 A CN110213375 A CN 110213375A CN 201910484928 A CN201910484928 A CN 201910484928A CN 110213375 A CN110213375 A CN 110213375A
- Authority
- CN
- China
- Prior art keywords
- matched
- access control
- information
- control rule
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于云WAF的IP访问控制的方法、装置及电子设备,该方法包括:获取客户端向被访问网站发起的访问请求报文;提取访问请求报文中的待匹配信息;将待匹配信息与预先配置的被访问网站的访问控制规则进行匹配,根据匹配结果对访问请求报文执行对应的操作,在进行匹配时,通过IP、域名和URL多管齐下的方式进行多方面匹配,并且访问控制规则中还设置有控制时长和控制行为,完善了访问控制方法,使得针对IP的访问控制准确性好,能够对被访问网站进行有效的保护,缓解了现有的针对IP的访问控制准确性不好,无法对被访问网站进行有效保护的技术问题。
Description
技术领域
本发明涉及计算机的技术领域,尤其是涉及一种基于云WAF的IP访问控制的方法、装置及电子设备。
背景技术
现在市场上大部分产品针对IP(互联网协议,Internet Protocol)的访问控制权限方面都是简单的针对报文的源IP进行简单的拦截或者放行。比如,将某个源IP设置为黑名单,如果接收到该源IP的访问请求报文时,则对该源IP所对应的访问请求报文进行拦截。但若攻击者通过代理的方式来进行攻击即可绕过访问控制的限制,且粗暴的直接拦截IP针对所有资源的访问权限控制是不合理的,会产生很多的误拦截或者误放行。
综上,现有的针对IP的访问控制准确性不好,无法对被访问网站进行有效的保护。
发明内容
本发明的目的在于提供一种基于云WAF的IP访问控制的方法、装置及电子设备,以缓解现有的针对IP的访问控制准确性不好,无法对被访问网站进行有效保护的技术问题。
本发明提供的一种基于云WAF的IP访问控制的方法,应用于云Web应用防护***WAF,所述方法包括:获取客户端向被访问网站发起的访问请求报文;提取所述访问请求报文中的待匹配信息,其中,所述待匹配信息包括以下至少之一:待匹配源IP、待匹配代理IP、待匹配域名和待匹配URL;将所述待匹配信息与所述被访问网站的访问控制规则进行匹配,根据匹配结果对所述访问请求报文执行对应的操作,以实现对所述被访问网站的访问控制,其中,所述访问控制规则包括:匹配条件和控制条件,所述匹配条件包括以下至少之一:IP、IP段、域名和URL,所述控制条件包括:控制时长和控制行为,所述控制时长用于确定所述访问控制规则的有效性,所述控制行为包括以下任一种所述对应的操作:拦截,放行。
进一步地,将所述待匹配信息与所述被访问网站的访问控制规则进行匹配,根据匹配结果对所述访问请求报文执行对应的操作包括:将所述待匹配信息与所述匹配条件中的信息进行匹配,得到匹配结果;若所述匹配结果为匹配通过,则在所述访问控制规则有效的情况下,按照所述访问控制规则中的控制行为对所述访问请求报文执行对应的操作。
进一步的,所述访问控制规则为多个,将所述待匹配信息与所述被访问网站的访问控制规则进行匹配,根据匹配结果对所述访问请求报文执行对应的操作包括:根据所述待匹配信息中的IP信息在多个所述访问控制规则中确定目标访问控制规则,其中,所述目标访问控制规则中所包含的IP信息与所述待匹配信息中的IP信息相同;将所述待匹配信息与所述目标访问控制规则中的任一目标访问控制规则的匹配条件进行匹配,直至得到与所述待匹配信息相匹配的第一目标匹配条件;根据所述第一目标匹配条件所对应的第一目标控制时长确定所述第一目标匹配条件所对应的第一目标访问控制规则的有效性;如果所述第一目标访问控制规则有效,则对所述访问请求报文执行第一目标控制行为,其中,所述第一目标控制行为为所述第一目标匹配条件所对应的第一目标访问控制规则中的控制行为。
进一步的,将所述待匹配信息与所述被访问网站的访问控制规则进行匹配,根据匹配结果对所述访问请求报文执行对应的操作还包括:如果所述第一目标访问控制规则失效,则继续将所述待匹配信息与其它目标访问控制规则的匹配条件进行匹配,直至得到与所述待匹配信息相匹配的第二目标匹配条件;根据所述第二目标匹配条件所对应的第二目标控制时长确定所述第二目标匹配条件所对应的第二目标访问控制规则的有效性;如果所述第二目标访问控制规则有效,则对所述访问请求报文执行第二目标控制行为,其中,所述第二目标控制行为为所述第二目标匹配条件所对应的第二目标访问控制规则中的控制行为。
进一步的,将所述待匹配信息与所述被访问网站的访问控制规则进行匹配,根据匹配结果对所述访问请求报文执行对应的操作还包括:如果所述目标访问控制规则中的所有访问控制规则的匹配条件与所述待匹配信息不匹配,或者,与所述待匹配信息相匹配的所有目标匹配条件所对应的目标访问控制规则都失效,则对所述访问请求报文进行处理,并将处理后的访问请求报文转发至所述被访问网站。
进一步的,在获取客户端向被访问网站发起的访问请求报文之前,所述方法还包括:建立与所述被访问网站的连接;获取用户配置的所述被访问网站的访问控制规则。
本发明还提供了一种基于云WAF的IP访问控制的装置,应用于云Web应用防护***WAF,所述装置包括:第一获取模块,用于获取客户端向被访问网站发起的访问请求报文;提取模块,用于提取所述访问请求报文中的待匹配信息,其中,所述待匹配信息包括以下至少之一:待匹配源IP、待匹配代理IP、待匹配域名和待匹配URL;匹配模块,用于将所述待匹配信息与所述被访问网站的访问控制规则进行匹配,根据匹配结果对所述访问请求报文执行对应的操作,以实现对所述被访问网站的访问控制,其中,所述访问控制规则包括:匹配条件和控制条件,所述匹配条件包括以下至少之一:IP、IP段、域名和URL,所述控制条件包括:控制时长和控制行为,所述控制时长用于确定所述访问控制规则的有效性,所述控制行为包括以下任一种所述对应的操作:拦截,放行。
进一步的,所述匹配模块还用于:将所述待匹配信息与所述匹配条件中的信息进行匹配,得到匹配结果;若所述匹配结果为匹配通过,则在所述访问控制规则有效的情况下,按照所述访问控制规则中的控制行为对所述访问请求报文执行对应的操作。
进一步的,所述访问控制规则为多个,所述匹配模块包括:第一确定单元,用于根据所述待匹配信息中的IP信息在多个所述访问控制规则中确定目标访问控制规则,其中,所述目标访问控制规则中所包含的IP信息与所述待匹配信息中的IP信息相同;第一匹配单元,用于将所述待匹配信息与所述目标访问控制规则中的任一目标访问控制规则的匹配条件进行匹配,直至得到与所述待匹配信息相匹配的第一目标匹配条件;第二确定单元,用于根据所述第一目标匹配条件所对应的第一目标控制时长确定所述第一目标匹配条件所对应的第一目标访问控制规则的有效性;第一执行单元,如果所述第一目标访问控制规则有效,则对所述访问请求报文执行第一目标控制行为,其中,所述第一目标控制行为为所述第一目标匹配条件所对应的第一目标访问控制规则中的控制行为。
本发明还提供了一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述内容中所述的方法的步骤。
在本发明实施例中,云WAF先获取客户端向被访问网站发起的访问请求报文;然后,提取访问请求报文中的待匹配信息;进而,将待匹配信息与预先配置的被访问网站的访问控制规则进行匹配,根据匹配结果对访问请求报文执行对应的操作,在进行匹配时,通过IP、域名和URL多管齐下的方式进行多方面匹配,并且访问控制规则中还设置有控制时长和控制行为,完善了访问控制方法,使得针对IP的访问控制准确性好,能够对被访问网站进行有效的保护,缓解了现有的针对IP的访问控制准确性不好,无法对被访问网站进行有效保护的技术问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于云WAF的IP访问控制的方法的流程图;
图2为本发明实施例提供的一种将待匹配信息与预先配置的被访问网站的访问控制规则进行匹配的方法流程图;
图3为本发明实施例提供的另一种将待匹配信息与预先配置的被访问网站的访问控制规则进行匹配的方法流程图;
图4为本发明实施例提供的一种基于云WAF的IP访问控制的装置的示意图;
图5为本发明实施例提供的一种电子设备的示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于云WAF的IP访问控制的方法进行详细介绍。
实施例一:
根据本发明实施例,提供了一种基于云WAF的IP访问控制的方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种基于云WAF的IP访问控制的方法的流程图,该方法应用于云Web应用防护***WAF,如图1所示,该方法包括如下步骤:
步骤S102,获取客户端向被访问网站发起的访问请求报文;
在本发明实施例中,该基于云WAF的IP访问控制的方法应用于云WAF。云WAF为Web应用防护***(也称为:网站应用级入侵防御***,英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。云WAF也就是基于云计算的WAF。
客户端在对被访问网站进行访问时,发起的访问请求报文先到达云WAF,这样,云WAF就获取得到了客户端向被访问网站发起的访问请求报文。
步骤S104,提取访问请求报文中的待匹配信息,其中,待匹配信息包括以下至少之一:待匹配源IP、待匹配代理IP、待匹配域名和待匹配URL(Uniform Resource Locator,统一资源定位符);
云WAF在获取到客户端发送的访问请求报文后,提取访问请求报文中的待匹配信息,该待匹配信息包括以下至少之一:待匹配源IP、待匹配代理IP、待匹配域名和待匹配URL。
步骤S106,将待匹配信息与被访问网站的访问控制规则进行匹配,根据匹配结果对访问请求报文执行对应的操作,以实现对被访问网站的访问控制,其中,访问控制规则包括:匹配条件和控制条件,匹配条件包括以下至少之一:IP、IP段、域名和URL,控制条件包括:控制时长和控制行为,控制时长用于确定访问控制规则的有效性,控制行为包括以下任一种对应的操作:拦截,放行。
在提取得到待匹配信息后,进一步将待匹配信息与被访问网站的访问控制规则进行匹配,根据匹配结果对访问请求报文执行对应的操作。
上述访问控制规则中包括:匹配条件和控制条件,匹配条件用于与待匹配信息进行匹配,匹配条件包括以下至少之一:IP、IP段、域名和URL。控制条件包括:控制时长和控制行为,控制时长用于确定访问控制规则的有效性,控制行为包括以下任一种对应的操作:拦截,放行。下文中再对该过程进行详细描述,在此不再赘述。
在本发明实施例中,云WAF先获取客户端向被访问网站发起的访问请求报文;然后,提取访问请求报文中的待匹配信息;进而,将待匹配信息与预先配置的被访问网站的访问控制规则进行匹配,根据匹配结果对访问请求报文执行对应的操作,在进行匹配时,通过IP、域名和URL多管齐下的方式进行多方面匹配,并且访问控制规则中还设置有控制时长和控制行为,完善了访问控制方法,使得针对IP的访问控制准确性好,能够对被访问网站进行有效的保护,缓解了现有的针对IP的访问控制准确性不好,无法对被访问网站进行有效保护的技术问题。
上述内容对本发明的基于云WAF的IP访问控制的方法进行了简要介绍,下面对其中涉及到的具体内容进行详细描述。
在本发明的一个可选实施例中,步骤S102,在获取客户端向被访问网站发起的访问请求报文之前,该方法还包括:
(1)建立与被访问网站的连接;
(2)获取用户配置的被访问网站的访问控制规则。
在具体实现时,先进行被访问网站与云WAF的对接,进而建立起被访问网站与云WAF的连接关系。然后,用户可以针对IP访问权限控制的需要在云WAF平台的页面上对被访问网站的访问控制规则进行配置。配置时,访问控制规则包括:匹配条件和控制条件,匹配条件包括以下至少之一:IP、IP段、域名和URL;控制条件包括:控制时长和控制行为。
上述的匹配条件至少要配置一个,也可以配置多个。如果同时配置了IP、域名和URL,只有当待匹配信息同时满足配置的上述三个匹配条件时,才算是匹配成功。
为了防止攻击者通过代理的方式绕过匹配条件的匹配,在进行IP的匹配时,不仅仅是针对源IP(即上述的待匹配源IP)进行匹配,还会从报文的请求头里面获取代理IP(即上述的待匹配代理IP),只要源IP或代理IP中有一个IP与匹配条件中的IP匹配,那么就确定这个报文的IP与访问控制规则中的匹配条件相匹配。
下面对匹配的过程进行详细介绍。
在本发明的一个可选实施例中,将待匹配信息与被访问网站的访问控制规则进行匹配,根据匹配结果对访问请求报文执行对应的操作包括:将待匹配信息与匹配条件中的信息进行匹配,得到匹配结果;若匹配结果为匹配通过,则在访问控制规则有效的情况下,按照访问控制规则中的控制行为对访问请求报文执行对应的操作。
在本发明的一个可选实施例中,访问控制规则为多个,参考图2,步骤S106,将待匹配信息与被访问网站的访问控制规则进行匹配,根据匹配结果对访问请求报文执行对应的操作包括如下步骤:
步骤S201,根据待匹配信息中的IP信息在多个访问控制规则中确定目标访问控制规则,其中,目标访问控制规则中所包含的IP信息与待匹配信息中的IP信息相同;
在进行匹配时,先在访问控制规则中确定目标访问控制规则。具体过程是:根据待匹配信息中的IP信息,在访问控制规则中确定与待匹配信息中的IP信息相同的IP信息所对应的访问控制规则,并将其作为目标访问控制规则。
实现时,先将与待匹配源IP相同的IP所对应的访问控制规则作为目标访问控制规则;如果没有,那么就将与待匹配代理IP相同的IP所对应的访问控制规则作为目标访问控制规则。
另外,需要说明的是:当访问控制规则中没有配置IP或IP段的信息时,那么该访问控制规则针对所有的IP生效,对于域名和URL也满足该规则。
步骤S202,将待匹配信息与目标访问控制规则中的任一目标访问控制规则的匹配条件进行匹配,直至得到与待匹配信息相匹配的第一目标匹配条件;
步骤S203,根据第一目标匹配条件所对应的第一目标控制时长确定第一目标匹配条件所对应的第一目标访问控制规则的有效性;
步骤S204,如果第一目标访问控制规则有效,则对访问请求报文执行第一目标控制行为,其中,第一目标控制行为为第一目标匹配条件所对应的第一目标访问控制规则中的控制行为。
在本发明的另一个可选实施例中,参考图3,步骤S106,将待匹配信息与被访问网站的访问控制规则进行匹配,根据匹配结果对访问请求报文执行对应的操作还包括如下步骤:
步骤S301,如果第一目标访问控制规则失效,则继续将待匹配信息与其它目标访问控制规则的匹配条件进行匹配,直至得到与待匹配信息相匹配的第二目标匹配条件;
步骤S302,根据第二目标匹配条件所对应的第二目标控制时长确定第二目标匹配条件所对应的第二目标访问控制规则的有效性;
步骤S303,如果第二目标访问控制规则有效,则对访问请求报文执行第二目标控制行为,其中,第二目标控制行为为第二目标匹配条件所对应的第二目标访问控制规则中的控制行为。
在本发明的又一可选实施例中,步骤S106,将待匹配信息与被访问网站的访问控制规则进行匹配,根据匹配结果对访问请求报文执行对应的操作还包括如下步骤:
如果目标访问控制规则中的所有访问控制规则的匹配条件与待匹配信息不匹配,或者,与待匹配信息相匹配的所有目标匹配条件所对应的目标访问控制规则都失效,则对访问请求报文进行处理,并将处理后的访问请求报文转发至被访问网站。
具体的,对访问请求报文进行处理是指继续执行云WAF中的其它功能,这里的其它功能可以包括:流量清洗,SQL结构化查询语言(Structured Query Language)注入检测,防扫描等等。本发明实施例对上述其它功能不进行具体限制。
本发明的基于云WAF的IP访问控制的方法是通过云WAF访问被访问网站,当客户端通过云WAF对被访问网站进行访问时,云WAF解析客户端发送的访问请求报文,并根据云WAF中配置的访问控制规则中的匹配条件(包括:IP、域名和URL)对客户端的访问请求报文进行匹配,若匹配,则进一步根据控制时长确定访问控制规则的有效性,并在确定得到访问控制规则有效时,对访问请求报文执行访问控制规则中控制行为。本发明的基于云WAF的IP访问控制的方法更加完善,能够使得黑客等不法分子渗透***的成本更高,避免了大量的误封锁和误放过,减少了由此所带来的经济损失。
实施例二:
本发明实施例还提供了一种基于云WAF的IP访问控制的装置,该基于云WAF的IP访问控制的装置应用于云Web应用防护***WAF,主要用于执行本发明实施例上述内容所提供的基于云WAF的IP访问控制的方法,以下对本发明实施例提供的基于云WAF的IP访问控制的装置做具体介绍。
图4是根据本发明实施例的一种基于云WAF的IP访问控制的装置的示意图,如图4所示,该基于云WAF的IP访问控制的装置主要包括获取模块10,提取模块20和匹配模块30,其中:
获取模块,用于获取客户端向被访问网站发起的访问请求报文;
提取模块,用于提取访问请求报文中的待匹配信息,其中,待匹配信息包括以下至少之一:待匹配源IP、待匹配代理IP、待匹配域名和待匹配URL;
匹配模块,用于将待匹配信息与被访问网站的访问控制规则进行匹配,根据匹配结果对访问请求报文执行对应的操作,以实现对被访问网站的访问控制,其中,访问控制规则包括:匹配条件和控制条件,匹配条件包括以下至少之一:IP、IP段、域名和URL,控制条件包括:控制时长和控制行为,控制时长用于确定访问控制规则的有效性,控制行为包括以下任一种对应的操作:拦截,放行。
在本发明实施例中,云WAF先获取客户端向被访问网站发起的访问请求报文;然后,提取访问请求报文中的待匹配信息;进而,将待匹配信息与预先配置的被访问网站的访问控制规则进行匹配,根据匹配结果对访问请求报文执行对应的操作,在进行匹配时,通过IP、域名和URL多管齐下的方式进行多方面匹配,并且访问控制规则中还设置有控制时长和控制行为,完善了访问控制方法,使得针对IP的访问控制准确性好,能够对被访问网站进行有效的保护,缓解了现有的针对IP的访问控制准确性不好,无法对被访问网站进行有效保护的技术问题。
可选地,匹配模块还用于:
将待匹配信息与匹配条件中的信息进行匹配,得到匹配结果;
若匹配结果为匹配通过,则在访问控制规则有效的情况下,按照访问控制规则中的控制行为对访问请求报文执行对应的操作。
可选地,访问控制规则为多个,匹配模块包括:
第一确定单元,用于根据待匹配信息中的IP信息在多个访问控制规则中确定目标访问控制规则,其中,目标访问控制规则中所包含的IP信息与待匹配信息中的IP信息相同;
第一匹配单元,用于将待匹配信息与目标访问控制规则中的任一目标访问控制规则的匹配条件进行匹配,直至得到与待匹配信息相匹配的第一目标匹配条件;
第二确定单元,用于根据第一目标匹配条件所对应的第一目标控制时长确定第一目标匹配条件所对应的第一目标访问控制规则的有效性;
第一执行单元,如果第一目标访问控制规则有效,则对访问请求报文执行第一目标控制行为,其中,第一目标控制行为为第一目标匹配条件所对应的第一目标访问控制规则中的控制行为。
可选地,匹配模块还包括:
第二匹配单元,如果第一目标访问控制规则失效,则继续将待匹配信息与其它目标访问控制规则的匹配条件进行匹配,直至得到与待匹配信息相匹配的第二目标匹配条件;
第三确定单元,用于根据第二目标匹配条件所对应的第二目标控制时长确定第二目标匹配条件所对应的第二目标访问控制规则的有效性;
第二执行单元,如果第二目标访问控制规则有效,则对访问请求报文执行第二目标控制行为,其中,第二目标控制行为为第二目标匹配条件所对应的第二目标访问控制规则中的控制行为。
可选地,匹配模块还包括:
第三执行单元,如果目标访问控制规则中的所有访问控制规则的匹配条件与待匹配信息不匹配,或者,与待匹配信息相匹配的所有目标匹配条件所对应的目标访问控制规则都失效,则对访问请求报文进行处理,并将处理后的访问请求报文转发至被访问网站。
可选地,该装置还包括:
建立模块,用于建立与被访问网站的连接;
第二获取模块,用于获取用户配置的被访问网站的访问控制规则。
该实施例二中的具体内容可以参考上述实施例一中的相关描述,在此不再赘述。
实施例三:
本发明实施例提供了一种电子设备,参考图5,该电子设备包括:处理器40,存储器41,总线42和通信接口43,处理器40、通信接口43和存储器41通过总线42连接;处理器40用于执行存储器41中存储的可执行模块,例如计算机程序。处理器执行计算及程序时实现如方法实施例中描述的方法的步骤。
其中,存储器41可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口43(可以是有线或者无线)实现该***网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线42可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器41用于存储程序,处理器40在接收到执行指令后,执行程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器40中,或者由处理器40实现。
处理器40可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器40中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器40可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器41,处理器40读取存储器41中的信息,结合其硬件完成上述方法的步骤。
在另一个实施例中,还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行上述实施例一中所述的方法的步骤。
本发明实施例所提供的基于云WAF的IP访问控制的方法、装置及电子设备的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种基于云WAF的IP访问控制的方法,其特征在于,应用于云Web应用防护***WAF,所述方法包括:
获取客户端向被访问网站发起的访问请求报文;
提取所述访问请求报文中的待匹配信息,其中,所述待匹配信息包括以下至少之一:待匹配源IP、待匹配代理IP、待匹配域名和待匹配URL;
将所述待匹配信息与所述被访问网站的访问控制规则进行匹配,根据匹配结果对所述访问请求报文执行对应的操作,以实现对所述被访问网站的访问控制,其中,所述访问控制规则包括:匹配条件和控制条件,所述匹配条件包括以下至少之一:IP、IP段、域名和URL,所述控制条件包括:控制时长和控制行为,所述控制时长用于确定所述访问控制规则的有效性,所述控制行为包括以下任一种所述对应的操作:拦截,放行。
2.根据权利要求1所述的方法,其特征在于,将所述待匹配信息与所述被访问网站的访问控制规则进行匹配,根据匹配结果对所述访问请求报文执行对应的操作包括:
将所述待匹配信息与所述匹配条件中的信息进行匹配,得到匹配结果;
若所述匹配结果为匹配通过,则在所述访问控制规则有效的情况下,按照所述访问控制规则中的控制行为对所述访问请求报文执行对应的操作。
3.根据权利要求1所述的方法,其特征在于,所述访问控制规则为多个,将所述待匹配信息与所述被访问网站的访问控制规则进行匹配,根据匹配结果对所述访问请求报文执行对应的操作包括:
根据所述待匹配信息中的IP信息在多个所述访问控制规则中确定目标访问控制规则,其中,所述目标访问控制规则中所包含的IP信息与所述待匹配信息中的IP信息相同;
将所述待匹配信息与所述目标访问控制规则中的任一目标访问控制规则的匹配条件进行匹配,直至得到与所述待匹配信息相匹配的第一目标匹配条件;
根据所述第一目标匹配条件所对应的第一目标控制时长确定所述第一目标匹配条件所对应的第一目标访问控制规则的有效性;
如果所述第一目标访问控制规则有效,则对所述访问请求报文执行第一目标控制行为,其中,所述第一目标控制行为为所述第一目标匹配条件所对应的第一目标访问控制规则中的控制行为。
4.根据权利要求3所述的方法,其特征在于,将所述待匹配信息与所述被访问网站的访问控制规则进行匹配,根据匹配结果对所述访问请求报文执行对应的操作还包括:
如果所述第一目标访问控制规则失效,则继续将所述待匹配信息与其它目标访问控制规则的匹配条件进行匹配,直至得到与所述待匹配信息相匹配的第二目标匹配条件;
根据所述第二目标匹配条件所对应的第二目标控制时长确定所述第二目标匹配条件所对应的第二目标访问控制规则的有效性;
如果所述第二目标访问控制规则有效,则对所述访问请求报文执行第二目标控制行为,其中,所述第二目标控制行为为所述第二目标匹配条件所对应的第二目标访问控制规则中的控制行为。
5.根据权利要求3所述的方法,其特征在于,将所述待匹配信息与所述被访问网站的访问控制规则进行匹配,根据匹配结果对所述访问请求报文执行对应的操作还包括:
如果所述目标访问控制规则中的所有访问控制规则的匹配条件与所述待匹配信息不匹配,或者,与所述待匹配信息相匹配的所有目标匹配条件所对应的目标访问控制规则都失效,则对所述访问请求报文进行处理,并将处理后的访问请求报文转发至所述被访问网站。
6.根据权利要求1所述的方法,其特征在于,在获取客户端向被访问网站发起的访问请求报文之前,所述方法还包括:
建立与所述被访问网站的连接;
获取用户配置的所述被访问网站的访问控制规则。
7.一种基于云WAF的IP访问控制的装置,其特征在于,应用于云Web应用防护***WAF,所述装置包括:
第一获取模块,用于获取客户端向被访问网站发起的访问请求报文;
提取模块,用于提取所述访问请求报文中的待匹配信息,其中,所述待匹配信息包括以下至少之一:待匹配源IP、待匹配代理IP、待匹配域名和待匹配URL;
匹配模块,用于将所述待匹配信息与所述被访问网站的访问控制规则进行匹配,根据匹配结果对所述访问请求报文执行对应的操作,以实现对所述被访问网站的访问控制,其中,所述访问控制规则包括:匹配条件和控制条件,所述匹配条件包括以下至少之一:IP、IP段、域名和URL,所述控制条件包括:控制时长和控制行为,所述控制时长用于确定所述访问控制规则的有效性,所述控制行为包括以下任一种所述对应的操作:拦截,放行。
8.根据权利要求7所述的装置,其特征在于,所述匹配模块还用于:
将所述待匹配信息与所述匹配条件中的信息进行匹配,得到匹配结果;
若所述匹配结果为匹配通过,则在所述访问控制规则有效的情况下,按照所述访问控制规则中的控制行为对所述访问请求报文执行对应的操作。
9.根据权利要求7所述的装置,其特征在于,所述访问控制规则为多个,所述匹配模块包括:
第一确定单元,用于根据所述待匹配信息中的IP信息在多个所述访问控制规则中确定目标访问控制规则,其中,所述目标访问控制规则中所包含的IP信息与所述待匹配信息中的IP信息相同;
第一匹配单元,用于将所述待匹配信息与所述目标访问控制规则中的任一目标访问控制规则的匹配条件进行匹配,直至得到与所述待匹配信息相匹配的第一目标匹配条件;
第二确定单元,用于根据所述第一目标匹配条件所对应的第一目标控制时长确定所述第一目标匹配条件所对应的第一目标访问控制规则的有效性;
第一执行单元,如果所述第一目标访问控制规则有效,则对所述访问请求报文执行第一目标控制行为,其中,所述第一目标控制行为为所述第一目标匹配条件所对应的第一目标访问控制规则中的控制行为。
10.一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910484928.4A CN110213375A (zh) | 2019-06-04 | 2019-06-04 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910484928.4A CN110213375A (zh) | 2019-06-04 | 2019-06-04 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110213375A true CN110213375A (zh) | 2019-09-06 |
Family
ID=67790883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910484928.4A Pending CN110213375A (zh) | 2019-06-04 | 2019-06-04 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110213375A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111585956A (zh) * | 2020-03-31 | 2020-08-25 | 完美世界(北京)软件科技发展有限公司 | 一种网址防刷验证方法与装置 |
| CN111585981A (zh) * | 2020-04-24 | 2020-08-25 | 上海泛微网络科技股份有限公司 | 基于应用防火墙的安全检测方法及相关设备 |
| CN112134840A (zh) * | 2020-08-16 | 2020-12-25 | 中信银行股份有限公司 | 内网环境中的访问控制方法、装置、存储介质及电子设备 |
| CN112187737A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种PaaS容器云平台环境下的结合WAF的防护方法 |
| CN114070596A (zh) * | 2021-11-10 | 2022-02-18 | 上海钧正网络科技有限公司 | Web应用防护***的性能优化方法、***、终端及介质 |
| CN115622776A (zh) * | 2022-10-08 | 2023-01-17 | 浙江网商银行股份有限公司 | 数据访问方法以及装置 |
| CN116132198A (zh) * | 2023-04-07 | 2023-05-16 | 杭州海康威视数字技术股份有限公司 | 基于轻量化上下文语义的物联网隐私行为感知方法及装置 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102055813A (zh) * | 2010-11-22 | 2011-05-11 | 杭州华三通信技术有限公司 | 一种网络应用的访问控制方法及其装置 |
| CN104301180A (zh) * | 2014-10-16 | 2015-01-21 | 杭州华三通信技术有限公司 | 一种业务报文处理方法和设备 |
| CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
| CN104618403A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 安全网关的访问控制方法和装置 |
| CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及*** |
| CN107528749A (zh) * | 2017-08-28 | 2017-12-29 | 杭州安恒信息技术有限公司 | 基于云防护日志的网站可用性检测方法、装置及*** |
| CN107580005A (zh) * | 2017-11-01 | 2018-01-12 | 北京知道创宇信息技术有限公司 | 网站防护方法、装置、网站防护设备及可读存储介质 |
| CN107592299A (zh) * | 2017-08-11 | 2018-01-16 | 深信服科技股份有限公司 | 代理上网识别方法、计算机装置及计算机可读存储介质 |
| CN107645507A (zh) * | 2017-10-16 | 2018-01-30 | 北京知道创宇信息技术有限公司 | 一种数据处理方法、反诈骗设备及计算机可读存储介质 |
| CN107800671A (zh) * | 2016-09-05 | 2018-03-13 | 北京金山云网络技术有限公司 | 一种防火墙规则的生成方法及装置 |
| CN108023860A (zh) * | 2016-11-03 | 2018-05-11 | 中国电信股份有限公司 | Web应用的防护方法、***以及Web应用防火墙 |
| CN109347882A (zh) * | 2018-11-30 | 2019-02-15 | 深信服科技股份有限公司 | 网页木马监测方法、装置、设备及存储介质 |
| CN109600385A (zh) * | 2018-12-28 | 2019-04-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种访问控制方法及装置 |
| CN109672651A (zh) * | 2017-10-17 | 2019-04-23 | 阿里巴巴集团控股有限公司 | 网站访问的拦截处理方法、***和数据处理方法 |
-
2019
- 2019-06-04 CN CN201910484928.4A patent/CN110213375A/zh active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102055813A (zh) * | 2010-11-22 | 2011-05-11 | 杭州华三通信技术有限公司 | 一种网络应用的访问控制方法及其装置 |
| CN104301180A (zh) * | 2014-10-16 | 2015-01-21 | 杭州华三通信技术有限公司 | 一种业务报文处理方法和设备 |
| CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
| CN104618403A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 安全网关的访问控制方法和装置 |
| CN107800671A (zh) * | 2016-09-05 | 2018-03-13 | 北京金山云网络技术有限公司 | 一种防火墙规则的生成方法及装置 |
| CN108023860A (zh) * | 2016-11-03 | 2018-05-11 | 中国电信股份有限公司 | Web应用的防护方法、***以及Web应用防火墙 |
| CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及*** |
| CN107592299A (zh) * | 2017-08-11 | 2018-01-16 | 深信服科技股份有限公司 | 代理上网识别方法、计算机装置及计算机可读存储介质 |
| CN107528749A (zh) * | 2017-08-28 | 2017-12-29 | 杭州安恒信息技术有限公司 | 基于云防护日志的网站可用性检测方法、装置及*** |
| CN107645507A (zh) * | 2017-10-16 | 2018-01-30 | 北京知道创宇信息技术有限公司 | 一种数据处理方法、反诈骗设备及计算机可读存储介质 |
| CN109672651A (zh) * | 2017-10-17 | 2019-04-23 | 阿里巴巴集团控股有限公司 | 网站访问的拦截处理方法、***和数据处理方法 |
| CN107580005A (zh) * | 2017-11-01 | 2018-01-12 | 北京知道创宇信息技术有限公司 | 网站防护方法、装置、网站防护设备及可读存储介质 |
| CN109347882A (zh) * | 2018-11-30 | 2019-02-15 | 深信服科技股份有限公司 | 网页木马监测方法、装置、设备及存储介质 |
| CN109600385A (zh) * | 2018-12-28 | 2019-04-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种访问控制方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111585956A (zh) * | 2020-03-31 | 2020-08-25 | 完美世界(北京)软件科技发展有限公司 | 一种网址防刷验证方法与装置 |
| CN111585956B (zh) * | 2020-03-31 | 2022-09-09 | 完美世界(北京)软件科技发展有限公司 | 一种网址防刷验证方法与装置 |
| CN111585981A (zh) * | 2020-04-24 | 2020-08-25 | 上海泛微网络科技股份有限公司 | 基于应用防火墙的安全检测方法及相关设备 |
| CN112134840A (zh) * | 2020-08-16 | 2020-12-25 | 中信银行股份有限公司 | 内网环境中的访问控制方法、装置、存储介质及电子设备 |
| CN112187737A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种PaaS容器云平台环境下的结合WAF的防护方法 |
| CN114070596A (zh) * | 2021-11-10 | 2022-02-18 | 上海钧正网络科技有限公司 | Web应用防护***的性能优化方法、***、终端及介质 |
| CN115622776A (zh) * | 2022-10-08 | 2023-01-17 | 浙江网商银行股份有限公司 | 数据访问方法以及装置 |
| CN116132198A (zh) * | 2023-04-07 | 2023-05-16 | 杭州海康威视数字技术股份有限公司 | 基于轻量化上下文语义的物联网隐私行为感知方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110213375A (zh) | 一种基于云waf的ip访问控制的方法、装置及电子设备 | |
| EP3219068B1 (en) | Method of identifying and counteracting internet attacks | |
| US9363286B2 (en) | System and methods for detection of fraudulent online transactions | |
| US9614863B2 (en) | System and method for analyzing mobile cyber incident | |
| RU2610254C2 (ru) | Система и способ определения измененных веб-страниц | |
| US20160226908A1 (en) | Identification of and countermeasures against forged websites | |
| US8966591B2 (en) | Adaptive strike count policy | |
| US20130247204A1 (en) | System and method for application security assessment | |
| CN108989355B (zh) | 一种漏洞检测方法和装置 | |
| CN107341395B (zh) | 一种拦截爬虫的方法 | |
| CN106685899B (zh) | 用于识别恶意访问的方法和设备 | |
| CN106549959B (zh) | 一种代理网际协议ip地址的识别方法及装置 | |
| CN112235321B (zh) | 短信验证码防刷方法及装置 | |
| CN102073822A (zh) | 防止用户信息泄漏的方法及*** | |
| CN112291258B (zh) | 网关风险控制方法及装置 | |
| CN102841990A (zh) | 一种基于统一资源定位符的恶意代码检测方法和*** | |
| CN110149212B (zh) | 一种数据库安全加固方法、装置及电子设备 | |
| US20180302437A1 (en) | Methods of identifying and counteracting internet attacks | |
| CN107623693B (zh) | 域名解析防护方法及装置、***、计算设备、存储介质 | |
| CN106576051A (zh) | 使用主机应用/程序到用户代理的映射的零日威胁检测 | |
| CN114363036A (zh) | 一种网络攻击路径获取方法、装置及电子设备 | |
| CN109510800B (zh) | 一种网络请求处理方法、装置、电子设备及存储介质 | |
| EP2922265B1 (en) | System and methods for detection of fraudulent online transactions | |
| CN104363234A (zh) | 基于公网ip地址拨号上网的防护方法及装置及*** | |
| CN106302347A (zh) | 一种网络攻击处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190906 |