技術領域

本發明實施例涉及互聯網安全技術領域，尤其涉及一種防火墻的實現方法和系統。

背景技術

隨著科學技術的發展和互聯網的不斷進步，互聯網的安全問題成了用戶關注的交點。WEB攻擊是十幾年來黑客攻擊的主流技術，很多企業也已經建立了安全基礎設施。

在現有技術中，傳統防火墻只是針對一些底層(網絡層、傳輸層)的信息進行阻斷。即，現有技術中，主要通過阻斷底層(網絡層、傳輸層)的信息，從而實現防火墻對黑客攻擊防護。例如，提供對IP、端口的防護。但是，在現有技術中，很少有企業從應用層對黑客攻擊進行防護和過濾。

于是，如何通過應用層防御SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊，過濾海量惡意訪問，避免網站資產數據泄露，保障網站的安全與可用性成了亟待解決的問題。

發明內容

為解決上述技術問題，本發明實施例提供了一種防火墻的實現方法和系統。

根據本發明實施例的第一方面，本發明實施例提供了一種防火墻的實現方法，所述方法包括：

對接收到的多個請求信息進行解析，得到多個解析信息，其中，一個所述請求信息對應一個所述解析信息；

根據獲取的預先設置的安全策略規則，對每個所述解析信息進行檢驗，得到檢驗結果；

當所述檢驗結果為第一解析信息與所述安全策略規則中的部分規則或全部規則相吻合時，則調取相吻合的安全策略規則所對應的攔截規則對所述第一請求信息進行攔截，得到攔截信息，其中，所述第一請求信息與所述第一解析信息相對應。

通過本實施例提供的：根據安全策略規則對接收到的每個解析信息進行檢驗，得到檢驗結果，其中，一個解析信息對應一個檢驗結果，如果通過檢驗結果得知，第一解析信息與安全策略規則中的部分規則相吻合，則根據對應的攔截規則對第一請求信息進行攔截，得到攔截信息的技術方案，一方面，避免了現有技術中的防火墻只能針對底層(網絡層、傳輸層)的請求信息進行阻斷的技術弊端；另一方面，實現了對應用層信息進行過濾的技術效果；再一方面，實現了過濾海量的惡意訪問，確保網站的安全性和可靠性的技術效果。

優選地，將多個所述請求信息和多個所述解析信息進行存儲，得到存儲列表，在所述存儲列表中，每個請求信息與其對應的解析信息相對應；

當接收到第三請求信息時，判斷所述存儲列表中是否有所述第三請求信息；

當判斷結果為有時，則從所述存儲列表中調取所述第三請求信息對應的解析信息。

通過本實施例提供的技術方案，避免了再次對同樣的請求信息進行解析的技術弊端，實現了節約了時間和成本的技術效果。

優選地，所述對每個所述解析信息進行檢驗，得到檢驗結果，具體包括：

逐一檢驗所述安全策略規則中的每個規則與所述第一解析信息是否相吻合，得到檢驗結果。

通過本實施例提供的技術方案，避免了漏檢的技術弊端，實現了得到精確的檢驗結果的技術效果。

進一步地，所述方法還包括：

根據得到的所述攔截信息，建立攔截信息日志；

根據所述安全策略規則分析所述攔截信息日志，得到調整信息；

根據所述調整信息對所述安全策略規則進行調整，得到當前安全策略規則；

根據所述當前安全策略規則對接收到的當前請求信息進行解析，其中，接收所述當前請求信息的時間晚于接收多個所述請求信息的時間。

通過本實施例提供的：根據攔截信息建立攔截信息日志，并根據安全策略規則對攔截信息日志進行分析，得到調整信息，根據該調整信息對安全策略規則進行調整，得到新的安全策略規則，即，當前安全策略規則，以便根據當前安全策略規則對當前請求信息進行解析的技術方案，一方面，避免了現有技術中“固定規則”的技術弊端；另一方面，實現了根據需求，及時對安全策略規則進行調整，確保網站的安全性和可靠性的技術效果。

進一步地，所述調取相吻合的安全策略規則所對應的攔截規則對所述第一請求信息進行攔截，得到攔截信息，具體包括：

統計預設時間內被攔截的第二請求信息的數量，得到攔截數量，其中，所述第二請求信息與所述第一請求信息相同；

當所述攔截數量等于所述安全閾值時，則對所述第一請求信息進行攔截，得到所述攔截信息。

通過本實施例提供的：當攔截數量等于安全閾值時，則對第一請求信息進行攔截的技術方案，避免了現有技術中盲目攔截請求信息的技術弊端；實現了確保網站的安全性和可靠性的技術效果。