技術領域

本發明一般地涉及WEB安全防護領域。更具體的，本發明涉及一種提升WEB安全網關并發性能的方法。

背景技術

隨著互聯網技術與應用的不斷發展，WEB應用已經逐漸成為了現代人們生產生活不可缺失的一個方面，同時它也成為了互聯網上的主要攻擊目標。據統計，當前網絡上75％的攻擊是針對WEB應用的。這些攻擊會導致網站聲譽下降，帶來經濟損失甚至政治影響。

WEB安全網關是專門針對WEB安全威脅而產生的一種網關類安全產品。它內部的WEB安全檢測引擎不是通過包過濾的手段實現安全防護，而是以代理的形式，完全解析客戶端發送的HTTP請求數據包，然后進行安全檢查，判斷沒有問題后，再與服務器端連接，重新發送HTTP請求，獲取響應后再轉發給客戶端。數據包的處理過程核心都在應用層完成。

WEB安全網關往往是串接在網絡中，因此其處理性能將直接影響整個網絡的帶寬、延時等性能指標。決定WEB安全網關的處理性能的因素無外乎兩個：硬件資源以及軟件執行效率。前者，隨著硬件成本的不斷下降提升較為容易。而后者，由于受到應用程序設計各方面的因素的影響，無法快速提升。因此，在實際環境中往往會出現的一個現象是，對于一臺硬件配置較高的網關設備，在網絡繁忙時，總是會出現丟包、延時、無法建立連接等問題，而系統的CPU、內存等資源利用率并沒有達到最大化，甚至處于非常低的水平。高性能的硬件配置利用率不足，網關處理速度無法隨著硬件性能的提高而大幅度提高，造成網關始終是網絡中的瓶頸。

現有的解決方案大多是采用物理集群的方法，即利用多臺物理網關設備，通過負載均衡技術將數據流分發到不同的網關上進行處理。但是這種方案的問題在于費用昂貴，能源消耗大，維護管理不方便，同時在某些網絡環境中，多個機器還存在IP資源缺少的問題。

與此同時，隨著虛擬技術的不斷成熟，服務器整合已經成為產業界的一種趨勢。在一臺物理機器上運行多個虛擬機，由于不同的虛擬機有不同的繁忙和空閑時段，忙閑交錯使得單個機器的系統資源利用率可以得到大大提高。因此在當前硬件性能不斷提升，成本不斷降低的背景下，實施服務器虛擬化具有重要的現實意義。

發明內容

本發明提供了一種提升WEB安全網關并發性能的方法。該方法主要解決WEB安全網關中，由于應用層數據包處理速度慢，導致網關并發處理能力低下，系統硬件資源利用率不高的問題。

本發明所述方法的技術方案是在一臺物理網關設備上運行宿主主機系統，宿主主機系統中運行數據分發組件和多個虛擬機，每個虛擬機中運行WEB安全檢測引擎從而構成一個虛擬網關。多個虛擬網關與宿主主機系統在一臺物理網關設備上構成一個虛擬網關集群。

物理網關設備位于客戶端與被保護的WEB站點服務器之間。

宿主主機系統與虛擬網關通過虛擬網絡進行通信。宿主主機系統配置物理網關實際所處環境下的真實網絡IP地址，可以直接與其他設備通信。每個虛擬網關配置不同的IP地址，也可以與物理網關所處網絡環境中的設備通信。虛擬網絡可以采用橋接方式建立，也可以采用地址轉換的方式建立。如果采用橋接方式建立虛擬網絡，所有的虛擬網關都需要配置真實網絡中的IP地址。如果采用地址轉換方式建立虛擬網絡，所有的虛擬網關相對于宿主主機系統而言工作于內網環境下，通過地址轉換后以宿主主機系統的IP地址與外部網絡通信，這種情況下虛擬網關無需占用真實網絡中的IP資源。

虛擬網關中的WEB安全檢測引擎通過套接字接口(Socket)接收數據分發組件轉發的HTTP請求數據包，檢測HTTP數據流的安全情況，同時它可以主動連接WEB站點，發送HTTP請求并獲取響應。

虛擬網關對于每一個被保護的WEB站點的IP地址和端口有唯一一個監聽端口。一臺物理網關設備上的多個虛擬網關對于同一WEB站點的IP地址及端口，采用相同的監聽端口。

數據分發組件攔截客戶端發往被保護WEB站點的HTTP請求數據包。為了保證HTTP會話的完整性，數據分發組件根據源地址散列(Source?Hashing)負載調度算法選擇合適的虛擬網關對數據包進行處理。數據分發組件記錄被保護WEB站點的IP地址、端口和虛擬網關上的監聽端口之間的對應關系。數據分發組件不處理虛擬網關發往被保護WEB站的HTTP請求數據包。

對于被保護WEB站點的HTTP數據流的具體處理步驟如下：