CN116418595A - 访问Web服务器的安全验证***及安全验证方法 - Google Patents
访问Web服务器的安全验证***及安全验证方法 Download PDFInfo
- Publication number
- CN116418595A CN116418595A CN202310488643.4A CN202310488643A CN116418595A CN 116418595 A CN116418595 A CN 116418595A CN 202310488643 A CN202310488643 A CN 202310488643A CN 116418595 A CN116418595 A CN 116418595A
- Authority
- CN
- China
- Prior art keywords
- access request
- security
- web server
- client
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012795 verification Methods 0.000 title claims abstract description 42
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000012545 processing Methods 0.000 claims abstract description 39
- 238000001514 detection method Methods 0.000 claims abstract description 36
- 230000008569 process Effects 0.000 claims description 10
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000011176 pooling Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 101000652292 Homo sapiens Serotonin N-acetyltransferase Proteins 0.000 description 1
- 102100030547 Serotonin N-acetyltransferase Human genes 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种访问Web服务器的安全验证***及安全验证方法。其中,该安全验证***包括:负载均衡设备,用于接收客户端的访问请求,并将该请求分发至流量编排器中;流量编排器,用于接收负载均衡设备转发的访问请求,并将访问请求分发至安全设备中,其中,流量编排器的一端连接有负载均衡设备;安全资源池,与流量编排器的另一端连接,安全资源池池化部署有多个安全设备,该多个安全设备中的至少一个安全设备用于对访问请求进行安全检测,并在安全检测通过后,将访问请求转发至访问请求对应的目标Web服务器。本申请解决了由于相关技术中基于串联的方式部署安全设备,造成的业务数据处理效率较低,无法满足业务高峰期的检测需求的技术问题。
Description
技术领域
本申请涉及安全验证领域,具体而言,涉及一种访问Web服务器的安全验证***及安全验证方法。
背景技术
企业近些年随着业务发展,线上秒杀、抢购各项活动的推广导致的网站访问量暴增,在企业互联网入口处部署WEB应用防火墙(以下简称WAF)作为安全防护的第一道墙,防范来自互联网恶意请求对WEB应用的攻击行为。此安全设备借助负载均衡采用透明桥的方式部署在企业互联网入口的主备线路上,可实时对互联网恶意请求检测并阻拦。但随着企业的业务量增长,安全设备可能出现处理性能瓶颈,由于串联部署,处理效率非常有限。当安全设备不能处理业务请求时,可能会影响所有互联网业务。即使更换为性能较强的设备,在单台设备运转的前提下,难以应对业务高峰时期的检测需求。另外,WAF串联在负载均衡后面的物理线路上,与网络架构存在强关联,也无法快速横向扩容来应对突发的业务流量需求。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种访问Web服务器的安全验证***及安全验证方法,以至少解决由于相关技术中基于串联的方式部署安全设备,造成的业务数据处理效率较低,无法满足业务高峰期的检测需求的技术问题。
根据本申请实施例的一个方面,提供了一种访问Web服务器的安全验证***,包括:负载均衡设备,用于接收客户端的访问请求,并将该请求分发至基于安全套接层协议SSL的流量编排器中,其中,访问请求用于对Web服务器进行访问;流量编排器,用于接收负载均衡设备转发的访问请求,并将访问请求分发至安全设备中,其中,流量编排器的一端连接有负载均衡设备;安全资源池,与流量编排器的另一端连接,安全资源池池化部署有多个安全设备,该多个安全设备中的至少一个安全设备用于对访问请求进行安全检测,并在安全检测通过后,将访问请求转发至访问请求对应的目标Web服务器。
可选地,流量编排器还用于对访问请求进行SSL卸载后,将访问请求发送至安全设备。
可选地,安全设备还用于在访问请求通过安全检测后,将访问请求返回至流量编排器,由流量编排器将访问请求转发至目标Web服务器,并返回访问请求对应的处理结果至客户端。
可选地,目标Web服务器用于对访问请求进行解析,确定客户端待访问的Web应用,获取Web应用对访问请求的处理结果,并返回处理结果至客户端。
可选地,目标Web服务器用于确定在接收访问请求的过程中访问请求的转发路径,并基于转发路径将处理结果返回至客户端。
可选地,安全资源池采用透明桥以及反向代理的方式池化部署多个不同类型的安全设备。
可选地,安全验证***还包括:网络地址转换模块,用于将Web服务器的内网网络地址IP转换为公网网络地址IP。
根据本申请实施例的另一方面,还提供了一种访问Web服务器的安全验证方法,包括:接收来自客户端对Web服务器的访问请求,通过负载均衡设备将该请求分发至基于安全套接层协议SSL的流量编排器中,其中,访问请求用于对Web服务器进行访问,通过流量编排器将访问请求转发至安全资源池,安全资源池池化部署有多个安全设备;基于多个安全设备中的目标安全设备对访问请求进行安全检测,在安全检测通过后,将访问请求转发至目标Web服务器。
可选地,接收来自客户端对Web服务器的访问请求,包括:将目标Web服务器的内网网络地址IP转换为公网网络地址IP,将公网IP暴露给客户端;接收客户端对公网IP的访问请求。
可选地,目标Web服务器用于对访问请求进行解析,确定客户端待访问的Web应用,获取Web应用对访问请求的处理结果,并返回处理结果至客户端。
可选地,返回处理结果至客户端,包括:回溯在接收访问请求的过程中访问请求的转发路径;基于转发路径将处理结果返回至客户端。
根据本申请实施例的另一方面,还提供了一种非易失性存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行任意一种访问Web服务器的安全验证方法。
根据本申请实施例的另一方面,还提供了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,处理器被配置为执行指令,以实现任意一种访问Web服务器的安全验证方法。
在本申请实施例中,采用引入安全资源池,对流量灵活编排负载的方式,通过负载均衡设备,用于接收客户端的访问请求,并将该请求分发至基于安全套接层协议SSL的流量编排器中,其中,访问请求用于对Web服务器进行访问;流量编排器,用于接收负载均衡设备转发的访问请求,并将访问请求分发至安全设备中,其中,流量编排器的一端连接有负载均衡设备;安全资源池,与流量编排器的另一端连接,安全资源池池化部署有多个安全设备,该多个安全设备中的至少一个安全设备用于对访问请求进行安全检测,并在安全检测通过后,将访问请求转发至访问请求对应的目标Web服务器,达到了基于可同时基于多台安全设备处理高并发的业务请求的目的,从而实现了提高业务数据的处理效率,实时对互联网恶意请求进行检测并阻拦的技术效果,进而解决了由于相关技术中基于串联的方式部署安全设备,造成的业务数据处理效率较低,无法满足业务高峰期的检测需求的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请实施例的一种可选的访问Web服务器的安全验证***的结构示意图;
图2是本申请一实施例中安全验证***的架构图;
图3是本申请一实施例中负载均衡的部署示意图;
图4是本申请实施例的一种可选的访问Web服务器的安全验证方法的流程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了便于本领域技术人员更好的理解本申请相关实施例,现对本申请可能涉及的技术术语或者部分名词解释如下:
1.NAT(Network Address Translation),是指网络地址转换,1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。这种方法需要在专用网(私网IP)连接到因特网(公网IP)的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址(公网IP地址)。这样,所有使用本地地址(私网IP地址)的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。另外,这种通过使用少量的全球IP地址(公网IP地址)代表较多的私有IP地址的方式,将有助于减缓可用的IP地址空间的枯竭。在RFC 2663中有对NAT的说明。
2.F5 SSL Orchestrator,简称SSLO。F5(纳斯达克:FFIV)是全球领先的应用交付网络(ADN)领域的厂商,创建于1996年,总部位于美国西雅图市。F5为全球大型企业、运营商、政府与消费品牌提供更加快速、安全以及智能的应用,通过交付云与安全解决方案,F5帮助企业在不损失速度与管理性的同时享有它们所需的应用架构。F5所推出的SSLO,可以加载证书对流量解密、进行安全的控制检查以及重新加密,提升了网络可视性,消除安全盲点,可帮助规避网络中的威胁。同时,SSLO节省了安全设备自身处理SSL加解密带来的性能消耗。SSLO的技术优势在于SSL可视化、安全设备快速扩展、支持多种拓扑和设备、动态服务链。
3.SSL的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议(如HTTP、Telnet、NNTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
根据本申请实施例,提供了一种访问Web服务器的安全验证***的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本申请实施例的访问Web服务器的安全验证***,如图1所示,该安全验证***包括:
负载均衡设备01,用于接收客户端的访问请求,并将该请求分发至基于安全套接层协议SSL的流量编排器中,其中,访问请求用于对Web服务器进行访问;上述安全套接层协议SSL的流量编排器可以简称为SSLO。
流量编排器02,用于接收负载均衡设备转发的访问请求,并将访问请求分发至安全设备中,其中,流量编排器的一端连接有负载均衡设备;
安全资源池03,与流量编排器的另一端连接,安全资源池池化部署有多个安全设备,该多个安全设备中的至少一个安全设备用于对访问请求进行安全检测,并在安全检测通过后,将访问请求转发至访问请求对应的目标Web服务器。
该安全验证***中,采用引入安全资源池,对流量灵活编排负载的方式,通过负载均衡设备,用于接收客户端的访问请求,并将该请求分发至基于安全套接层协议SSL的流量编排器中,其中,访问请求用于对Web服务器进行访问;流量编排器,用于接收负载均衡设备转发的访问请求,并将访问请求分发至安全设备中,其中,流量编排器的一端连接有负载均衡设备;安全资源池,与流量编排器的另一端连接,安全资源池池化部署有多个安全设备,该多个安全设备中的至少一个安全设备用于对访问请求进行安全检测,并在安全检测通过后,将访问请求转发至访问请求对应的目标Web服务器,达到了基于可同时基于多台安全设备处理高并发的业务请求的目的,从而实现了提高业务数据的处理效率,实时对互联网恶意请求进行检测并阻拦的技术效果,进而解决了由于相关技术中基于串联的方式部署安全设备,造成的业务数据处理效率较低,无法满足业务高峰期的检测需求的技术问题。
本申请一些实施例中,流量编排器还用于对访问请求进行SSL卸载后,将访问请求发送至安全设备。可选地,在企业互联网入口防火墙后面,采用负载均衡部署至少两台SSLO组成资源池进行负载,由SSLO根据提前设置的流量转发规则,将请求报文SSL卸载后转发至安全资源池里的安全设备。安全设备完成处理后再回包给SSLO,由SSLO转发给WEB服务器。
本申请一些可选的实施例中,安全设备还用于在访问请求通过安全检测后,将访问请求返回至流量编排器,由流量编排器将访问请求转发至目标Web服务器,并返回访问请求对应的处理结果至客户端。通过上述步骤可以确保Web服务器的安全,并将客户端需要的数据发送至客户端,满足客户端的业务需求。
在本申请一些实例中,客户端发送至Web服务器的访问请求,可以直接用于对Web应用进行访问,因此,目标Web服务器可用于对访问请求进行解析,确定客户端待访问的Web应用,获取Web应用对访问请求的处理结果,并返回处理结果至客户端。
为了方便数据的溯源,作为一种可选的实施方式,上述目标Web服务器还用于确定在接收访问请求的过程中访问请求的转发路径,并基于转发路径将处理结果返回至客户端。可以理解的,对于目标Web服务器而言,基于接收阶段,接收业务请求的路径,按照该路径该客户端需要访问的数据返回给客户端,不仅可以保证各个客户端的访问请求对应的访问结果准确返回至各个客户端,同时,便于后期运维人员进行数据溯源与管理。
为了兼容不同的网络架构,在本申请相关实施例中,安全资源池可采用透明桥以及反向代理的方式池化部署多个不同类型的安全设备。需要说明的是,以透明桥模式部署时,负载均衡无需配置,WAF对于负载均衡和后端服务器透明,设备透传HTTP协议请求,对于需要保护的互联网***,WAF配置每个需要防护***的服务端IP地址和端口。以反向代理模式部署时,负载均衡需要将真实主机映射至WAF,此时WAF对外表现为后端的真实主机,客户端访问的就是WAF,当收到客户端的HTTP请求报文后,将该请求转发至对应的后端真实主机。
但需要说明是,如果不对网络架构进行改动,例如,不采用本申请所公开的技术方案,则无论是采用透明桥模式还是反向代理模式,WAF都无法横向扩容来满足突发的业务请求,除应急bypass外,亦不能快速绕过WAF,以减小因性能或故障对业务产生的影响,只能通过更换更高性能的设备替换恢复网络,业务恢复时间变更的不可控。而本申请针对上述问题通过引入安全资源池,对流量进行编排负载,实现了多台安全设备同时提供服务,控制每台安全设备的流量比例,解决了相关技术中的存在的上述的问题。
为了保障内网IP信息安全,作为一种可选的实施方式,安全验证***还包括:网络地址转换模块,用于将Web服务器的内网网络地址IP转换为公网网络地址IP。即,客户端访问服务端时报文请求数据包会在相关网络设备上使用NAT技术,流量转发过程如下:
(1)客户端访问经过防火墙映射后暴露的互联网公网IP,防火墙针对访问控制策略及NAT将请求数据包转发至SSLO前面的负载均衡设备;
(2)SSLO前面的负载均衡转发,将目标IP修改为SSLO服务链IP,并进行负载转发;
(3)SSLO收到请求数据包,根据安全服务链负载均衡至不同的安全产品,如WAF,IPS等;
(4)当流量已经完成服务链上所配置的安全设备后退出服务链的流量转发,并将请求数据包转发至服务端的负载均衡设备;
(5)服务端的负载均衡设备根据转发信息将请求数据包转发至最终的服务端WEB服务器;
(6)服务端处理请求后,将沿着流量转发路径逐个往回转发。
综上,在本申请相关实施例中,通过引入SSL流量编排设备,能够在对用户和***透明无感知的情况下,提供持续、稳定、高效的互联网流量检测,确保互联网暴露面不间断的处于监控防护机制中。安全资源池可采用透明桥、反向代理部署不同类型的安全设备;对于因业务功能改造改变请求报文等无法得知安全设备能否正常监控时,可在SSLO调整流量转发比例进行技术验证,验证通过可将全部访问清流切至安全设备防护;因流量负载,安全资源池设备或SSLO软件版本升级均无需停业,也不会对业务造成影响;如SSLO接收心跳包回应超时,可自动将异常设备踢出安全服务链,确保业务不受影响。
图2是本申请一实施例中上述安全验证***的架构图,如图2所示,通过在互联网边界引入带有SSL流量编排(简称“SSLO”)功能的负载均衡设备,并对WAF进行资源池化部署,将安全设备的主备部署模式变为池化集群部署,达到了多台安全设备同时提供安全检测服务的目的。
为支持业务量的突增时的安全检测,从满足安全设备能够快速横向扩容的需求出发,优化互联网入口网络架构,上述架构满足以下运维场景:
(1)支持快速横向扩容和设备无缝升级;
(2)安全资源池内可实现故障设备快速隔离,同时提升设备资源利用率;
(3)异构安全设备,提高安全检测能力;
(4)精细化的业务流量动态编排,支持更复杂的安全场景。
图3是本申请一实施例中负载均衡的部署示意图,如图3所示,在企业互联网入口防火墙后面,采用负载均衡部署至少两台SSLO组成资源池进行负载,由SSLO根据提前设置的流量转发规则,将请求报文SSL卸载后转发至安全资源池里的安全设备。安全设备完成处理后再回包给SSLO,由SSLO转发给WEB服务器。对于上述流量转发规则的设置而言,SSLO有security策略,配置后可以实现对流量的识别及编排。如配置,WEB协议对应服务链(WAF),流量中的WEB协议就会流到WAF的服务链。其次,SSLO与F5部署架构的服务器往回转发都是通过TCP链路实现的,通过SNAT之后,互联网IP会变成SNAT_ip访问后端服务器,后端服务器看到是负载访问就会回给负载,F5有autolasthop会记录上一跳,使用这个特性,F5不用配置回包路由也可以保证来回路径一致性。
图4是根据本申请实施例的一种访问Web服务器的安全验证方法,如图4所示,该方法包括:
S402,接收来自客户端对Web服务器的访问请求,通过负载均衡设备将该请求分发至基于安全套接层协议SSL的流量编排器中,其中,访问请求用于对Web服务器进行访问;
S404,通过流量编排器将访问请求转发至安全资源池,安全资源池池化部署有多个安全设备;
S406,基于多个安全设备中的目标安全设备对访问请求进行安全检测,在安全检测通过后,将访问请求转发至目标Web服务器。
该安全验证方法中,通过接收来自客户端对Web服务器的访问请求,通过负载均衡设备将该请求分发至基于安全套接层协议SSL的流量编排器中,其中,访问请求用于对Web服务器进行访问;然后,再通过流量编排器将访问请求转发至安全资源池,安全资源池池化部署有多个安全设备;最后,基于多个安全设备中的目标安全设备对访问请求进行安全检测,在安全检测通过后,将访问请求转发至目标Web服务器,达到了基于可同时基于多台安全设备处理高并发的业务请求的目的,从而实现了提高业务数据的处理效率,实时对互联网恶意请求进行检测并阻拦的技术效果,进而解决了由于相关技术中基于串联的方式部署安全设备,造成的业务数据处理效率较低,无法满足业务高峰期的检测需求的技术问题。
为了确保目标Web服务器的内网网络地址IP的安全,在本申请一些实施例中,接收来自客户端对Web服务器的访问请求,可以通过如下方式实现:将目标Web服务器的内网网络地址IP转换为公网网络地址IP,将公网IP暴露给客户端;接收客户端对公网IP的访问请求。
作为一种可选的实施方式,客户端发送至Web服务器的访问请求,可以直接用于对Web应用进行访问目标Web服务器用于对访问请求进行解析,确定客户端待访问的Web应用,获取Web应用对访问请求的处理结果,并返回处理结果至客户端。
为了方便数据的溯源,本申请一些可选的实施例中,返回处理结果至客户端,包括:回溯在接收访问请求的过程中访问请求的转发路径;基于转发路径将处理结果返回至客户端。可以理解的,对于目标Web服务器而言,基于接收阶段,接收业务请求的路径,按照该路径该客户端需要访问的数据返回给客户端,不仅可以保证各个客户端的访问请求对应的访问结果准确返回至各个客户端,同时,便于后期运维人员进行数据溯源与管理。
根据本申请实施例的另一方面,还提供了一种非易失性存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行任意一种访问Web服务器的安全验证方法。
具体地,上述存储介质用于存储以下功能的程序指令,实现以下功能:
接收来自客户端对Web服务器的访问请求,通过负载均衡设备将该请求分发至基于安全套接层协议SSL的流量编排器中,其中,访问请求用于对Web服务器进行访问,通过流量编排器将访问请求转发至安全资源池,安全资源池池化部署有多个安全设备;基于多个安全设备中的目标安全设备对访问请求进行安全检测,在安全检测通过后,将访问请求转发至目标Web服务器。
可选地,在本实施例中,上述存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备,或者上述内容的任何合适组合。上述存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
在本申请一示例性实施例中,还提供了一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现上述任一项的访问Web服务器的安全验证方法。
可选地,该计算机程序在被处理器执行时可实现如下步骤:
接收来自客户端对Web服务器的访问请求,通过负载均衡设备将该请求分发至基于安全套接层协议SSL的流量编排器中,其中,访问请求用于对Web服务器进行访问,通过流量编排器将访问请求转发至安全资源池,安全资源池池化部署有多个安全设备;基于多个安全设备中的目标安全设备对访问请求进行安全检测,在安全检测通过后,将访问请求转发至目标Web服务器。
根据本申请实施例的另一方面,还提供了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,处理器被配置为执行指令,以实现任意一种访问Web服务器的安全验证方法。
可选地,上述电子设备还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入设备输出设备和上述处理器连接。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (13)
1.一种访问Web服务器的安全验证***,其特征在于,包括:
负载均衡设备,用于接收客户端的访问请求,并将该请求分发至基于安全套接层协议SSL的流量编排器中,其中,所述访问请求用于对Web服务器进行访问;
所述流量编排器,用于接收所述负载均衡设备转发的所述访问请求,并将所述访问请求分发至安全设备中,其中,所述流量编排器的一端连接有所述负载均衡设备;
安全资源池,与所述流量编排器的另一端连接,所述安全资源池池化部署有多个所述安全设备,该多个安全设备中的至少一个安全设备用于对所述访问请求进行安全检测,并在安全检测通过后,将所述访问请求转发至所述访问请求对应的目标Web服务器。
2.根据权利要求1所述的安全验证***,其特征在于,所述流量编排器还用于对所述访问请求进行SSL卸载后,将所述访问请求发送至所述安全设备。
3.根据权利要求1所述的安全验证***,其特征在于,所述安全设备还用于在所述访问请求通过安全检测后,将所述访问请求返回至所述流量编排器,由所述流量编排器将访问请求转发至所述目标Web服务器,并返回所述访问请求对应的处理结果至所述客户端。
4.根据权利要求3所述的安全验证***,其特征在于,所述目标Web服务器用于对所述访问请求进行解析,确定所述客户端待访问的Web应用,获取Web应用对所述访问请求的处理结果,并返回所述处理结果至所述客户端。
5.根据权利要求3所述的安全验证***,其特征在于,所述目标Web服务器用于确定在接收所述访问请求的过程中所述访问请求的转发路径,并基于所述转发路径将所述处理结果返回至所述客户端。
6.根据权利要求1所述的安全验证***,其特征在于,所述安全资源池采用透明桥以及反向代理的方式池化部署所述多个不同类型的安全设备。
7.根据权利要求1所述的安全验证***,其特征在于,所述安全验证***还包括:网络地址转换模块,用于将Web服务器的内网网络地址IP转换为公网网络地址IP。
8.一种访问Web服务器的安全验证方法,其特征在于,包括:
接收来自客户端对Web服务器的访问请求,通过负载均衡设备将该请求分发至基于安全套接层协议SSL的流量编排器中,其中,所述访问请求用于对Web服务器进行访问;
通过所述流量编排器将所述访问请求转发至安全资源池,所述安全资源池池化部署有多个安全设备;
基于所述多个安全设备中的目标安全设备对所述访问请求进行安全检测,在所述安全检测通过后,将所述访问请求转发至目标Web服务器。
9.根据权利要求8所述的安全验证方法,其特征在于,接收来自客户端对Web服务器的访问请求,包括:
将所述目标Web服务器的内网网络地址IP转换为公网网络地址IP,将所述公网IP暴露给所述客户端;
接收所述客户端对所述公网IP的所述访问请求。
10.根据权利要求8所述的安全验证方法,其特征在于,所述目标Web服务器用于对所述访问请求进行解析,确定所述客户端待访问的Web应用,获取Web应用对所述访问请求的处理结果,并返回所述处理结果至所述客户端。
11.根据权利要求10所述的安全验证方法,其特征在于,返回所述处理结果至所述客户端,包括:
回溯在接收所述访问请求的过程中所述访问请求的转发路径;
基于所述转发路径将所述处理结果返回至所述客户端。
12.一种非易失性存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求8至11中任意一项所述的访问Web服务器的安全验证方法。
13.一种电子设备,其特征在于,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如权利要求8至11中任一项所述的访问Web服务器的安全验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310488643.4A CN116418595A (zh) | 2023-04-28 | 2023-04-28 | 访问Web服务器的安全验证***及安全验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310488643.4A CN116418595A (zh) | 2023-04-28 | 2023-04-28 | 访问Web服务器的安全验证***及安全验证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116418595A true CN116418595A (zh) | 2023-07-11 |
Family
ID=87049443
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310488643.4A Pending CN116418595A (zh) | 2023-04-28 | 2023-04-28 | 访问Web服务器的安全验证***及安全验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116418595A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117544424A (zh) * | 2024-01-09 | 2024-02-09 | 万洲嘉智信息科技有限公司 | 基于泛在联接的多协议智慧园区管控平台 |
-
2023
- 2023-04-28 CN CN202310488643.4A patent/CN116418595A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117544424A (zh) * | 2024-01-09 | 2024-02-09 | 万洲嘉智信息科技有限公司 | 基于泛在联接的多协议智慧园区管控平台 |
| CN117544424B (zh) * | 2024-01-09 | 2024-03-15 | 万洲嘉智信息科技有限公司 | 基于泛在联接的多协议智慧园区管控平台 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240205049A1 (en) | System and method for a global virtual network | |
| EP3761592B1 (en) | System and method for virtual interfaces and advanced smart routing in a global virtual network | |
| CN1761240B (zh) | 用于高度可实现性应用的智能集成网络安全设备 | |
| US9762546B2 (en) | Multi-connection system and method for service using internet protocol | |
| US20080052703A1 (en) | Universal patching machine | |
| US10404747B1 (en) | Detecting malicious activity by using endemic network hosts as decoys | |
| US20200322181A1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
| KR101286015B1 (ko) | 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법 | |
| US10795912B2 (en) | Synchronizing a forwarding database within a high-availability cluster | |
| CN112822037B (zh) | 一种安全资源池的流量编排方法及*** | |
| CN111818081B (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
| CN116418595A (zh) | 访问Web服务器的安全验证***及安全验证方法 | |
| CN109688242B (zh) | 一种云防护***及方法 | |
| Shao et al. | Accessing Cloud with Disaggregated {Software-Defined} Router | |
| KR20130093714A (ko) | 클라우드 시스템에서의 웹 방화벽 서비스 장치 및 방법 | |
| CN112511562A (zh) | 一种基于单向隔离一体机及云桌面技术的跨网数据传送*** | |
| CN114666249B (zh) | 云平台上的流量采集方法、设备以及计算机可读存储介质 | |
| CN115865601A (zh) | 一种跨云数据中心的sdn网络通信*** | |
| CN115297098A (zh) | 边缘服务获取方法和装置、边缘计算***、介质、设备 | |
| CN109428863A (zh) | 容器服务的安全防护方法、数据处理方法、装置及设备 | |
| CN113691608A (zh) | 流量分发的方法、装置、电子设备及介质 | |
| US11985064B1 (en) | Detecting static routes in a network | |
| KR20200069702A (ko) | 토르 네트워크 트래픽 수집 시스템 및 방법 | |
| CN110636148A (zh) | 网络地址升级处理方法 | |
| CN110012033A (zh) | 一种数据传输方法、***及相关组件 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |