技術領域

本發明涉及信息技術，尤其涉及一種web應用防火墻設備和安全防護日志的異步處理方法。

背景技術

隨著網絡信息技術的高速發展，基于Web網絡的應用在全球被越來越多的公司和機構使用。但是，很多企業在享受電子商務、軟件即服務（Software-as-a-service，SaaS）等帶來的快捷便利的同時，卻又被緊隨其后的對Web服務器的非法訪問入侵等安全問題所困擾。

現有技術中，采用web應用防火墻（Web?application?firewall，WAF）來解決上述Web應用安全問題。WAF設備中的安全防護日志采用同步記錄的方式，即發現攻擊后產生安全防護日志，然后直接將安全防護日志存入數據庫。但是，當WAF設備防護的Web服務器發生大量攻擊時，將產生的大量安全防護日志仍然直接存入數據庫會產生大量的I/O操作，這會影響到WAF設備的性能，并且處理的日志數量級過大，會加劇WAF設備的資源耗盡，導致WAF設備不可用。

發明內容

本發明提供一種web應用防火墻設備和安全防護日志的異步處理方法，用以解決現有技術中，web應用防火墻設備處理安全防護日志的性能差的技術問題。

一方面，本發明實施例提供一種web應用防火墻設備，包括：防護預警模塊、日志產生模塊、日志發送模塊、日志存儲模塊和故障處理模塊；

所述防護預警模塊，用于檢測客戶端向Web服務器發送的請求信息，并在所述請求信息對所述Web服務器產生威脅時，觸發日志產生模塊；

所述日志產生模塊，用于生成所述請求信息對應的日志信息，并將所述日志信息存儲至緩存中；

所述日志發送模塊，用于提取所述緩存中的日志信息，并通過socket長連接將所述日志信息發送至所述日志存儲模塊；

所述日志存儲模塊，用于將接收的所述日志信息存儲至數據庫中；

所述日志發送模塊，還用于通過所述socket長連接向所述日志存儲模塊發送心跳信息，以檢測所述socket長連接的連接狀態；若檢測到所述socket長連接的連接狀態出現異常，則觸發所述故障處理模塊；

所述故障處理模塊，用于重新建立socket長連接，并不斷將所述緩存中的日志信息進行文本存儲，直至所述socket長連接重新建立完成。

另一方面，本發明實施例提供一種安全防護日志的異步處理方法，包括：

web應用防火墻設備中的防護預警模塊檢測客戶端向Web服務器發送的請求信息，并在所述請求信息對所述Web服務器產生威脅時，觸發所述web應用防火墻設備中的日志產生模塊；

所述web應用防火墻設備中的日志產生模塊生成所述請求信息對應的日志信息，并將所述日志信息存儲至緩存中；

所述web應用防火墻設備中的日志發送模塊提取所述緩存中的日志信息，并通過socket長連接將所述日志信息發送至所述web應用防火墻設備中的日志存儲模塊；

所述日志存儲模塊將接收的所述日志信息存儲至數據庫中；

所述日志發送模塊通過所述socket長連接向所述日志存儲模塊發送心跳信息，以檢測所述socket長連接的連接狀態；若檢測到所述socket長連接的連接狀態出現異常，則觸發所述web應用防火墻設備中的故障處理模塊；

所述故障處理模塊重新建立socket長連接，并不斷將所述緩存中的日志信息進行文本存儲，直至所述socket長連接重新建立完成。

本發明提供的web應用防火墻設備和安全防護日志的異步處理方法，在發現客戶端對防護的Web服務器產生威脅時，生成相應的日志信息并存儲至緩存中；提取緩存中的日志信息，并通過socket長連接將所述日志信息存儲至數據庫中；通過socket長連接發送心跳信息，以檢測socket長連接的連接狀態；若檢測到socket長連接的連接狀態出現異常，則重新建立socket長連接，并不斷將緩存中的日志信息進行文本存儲，直至所述socket長連接重新建立完成。該方案采用異步實現安全防護日志的產生和存儲過程，有效提高了處理日志的性能。

附圖說明

圖1為本發明提供的web應用防火墻設備一個實施例的結構示意圖；

圖2為本發明提供的web應用防火墻設備場景應用示意圖。

圖3為本發明提供的安全防護日志的異步處理方法一個實施例的流程圖。

具體實施方式