技術領域

本發明涉及互聯網領域、物聯網領域、云計算和云服務安全領域，尤其涉及一種對web服務器的防護裝置和方法。

背景技術

隨著網絡技術的不斷發展，如電子商務、網上銀行、電子政務的盛行，web服務器承載的業務價值越來越高，web服務器所面臨的安全威脅也越來越大。因此，針對web服務器應用層的防御成為必然趨勢。現有技術中，已經存在了專門針對web服務器應用層的攻擊的防火墻：WEB應用防火墻。

在云計算、云存儲等云服務領域中，通常在通用的操作系統(例如：CentOS、Redhat、Fedora、Ubuntu等)中安裝WEB應用防火墻防止針對web服務器的攻擊。

這種WEB應用防火墻安裝模式，有以下缺點：

1、由于將WEB應用防火墻安裝在通用的操作系統中，因此，WEB應用防火墻無法根據需要動態創建，導致WEB應用防火墻無法實現彈性擴展，當WEB應用防火墻需要防護的流量超出性能限制之后，WEB應用防火墻無法正常工作。

2、由于一個WEB應用防火墻負責守護一臺Web服務器，且WEB應用防火墻無法動態創建，導致WEB應用防火墻無法避免單點故障，當WEB應用防火墻出現故障的時候，Web服務器無法正常訪問。

發明內容

(一)發明目的

本發明的目的是提供一種對web服務器的防護裝置和方法。

(二)技術方案

為解決上述問題，本發明的第一方面提供了一種對web服務器的防護裝置，包括：WEB應用防火墻集群，創建并運行在Kubernetes容器群集管理系統中，所述WEB應用防火墻集群包括若干個節點，每個節點上運行有反向代理程序和WEB應用防火墻；所述反向代理程序，用于將當前節點接收的web訪問報文分發至所述web訪問報文所要訪問的web服務器所對應的WEB應用防火墻；所述WEB應用防火墻，用于接收所述反向代理程序發送的web訪問報文，并對接收的web訪問報文進行安全檢測，確認安全后將web訪問報文發送至對應的web服務器。

進一步，所述的防護裝置，其中，所述WEB應用防火墻集群還包括節點管理模塊master；所述節點管理模塊master，用于檢測所述若干個節點的健康狀況，并當檢測到某個節點發生故障時，在其他節點上創建新的WEB應用防火墻，并將發生故障的節點的WEB應用防火墻的數據同步至所述新的WEB應用防火墻。

進一步，所述的防護裝置，其中，所述節點管理模塊master，還用于監測所述若干個節點的流量，并當監測到某個節點的流量超過預設閾值時，在其他節點上創建一個新的WEB應用防火墻，并將流量超過預設閾值的節點的WEB應用防火墻的數據同步至所述新的WEB應用防火墻。

進一步，所述的防護裝置，還包括：負載均衡設備，所述負載均衡設備用于接收web端發送的web訪問報文，并根據預設的負載均衡調度算法將接收的web訪問報文分發至各個所述節點。

進一步，所述的防護裝置，其中，所述反向代理程序，包括：域名獲取模塊，用于從所述web訪問報文中提取要訪問的web服務器的域名；匹配模塊，用于在預設的web服務器域名與web應用防火墻域名對應表中找到與所述要訪問的web服務器的域名所對應的web應用防火墻的域名；分發模塊，根據找到的web應用防火墻的域名，將web訪問請求分發至web應用防火墻。

本發明還提供了一種對web服務器的防護方法，應用于前述任一項所述的防護裝置，所述防護方法包括:S1，反向代理程序接收web訪問報文，并將所述web訪問報文分發至所述web訪問報文所要訪問的web服務器所對應的WEB應用防火墻；S2，WEB應用防火墻接收web訪問報文，并對web訪問報文進行安全檢測，確認安全后將web訪問報文發送至對應的web服務器。

進一步，所述的防護方法，還包括：檢測所述若干個節點的健康狀況，并當檢測到某個節點發生故障時，在其它節點創建一個新的Web應用防火墻，并將發生故障的節點的WEB應用防火墻的數據同步至所述新的WEB應用防火墻。

進一步，所述的防護方法，還包括：監測所述若干個節點的流量，并當監測到某個節點的流量超過預設閾值時，在其它節點創建一個新的Web應用防火墻，并將流量超過預設閾值的節點的WEB應用防火墻的數據同步至所述新的WEB應用防火墻。

進一步，所述的防護方法，其中，在所述反向代理程序接收web訪問報文之前，還包括：負載均衡設備接收web端發送的web訪問報文，并根據預設的負載均衡調度算法將所述web訪問報文發送至各個節點。