本發明公開了一種基于Nginx的新型WAF設計方法，包括：步驟S100：配置業務源站和鏡像源站，所述業務源站用于線上業務，所述鏡像源站用于對所述線上業務進行鏡像形成鏡像業務，將WAF部署在Nginx服務器中，并且部署在所述線上業務和鏡像業務的前端；步驟S200：WAF采用通用規則攔截攻擊，并阻塞難檢測請求；步驟S300：WAF將所述難檢測請求轉發到所述鏡像業務，并根據鏡像業務返回的響應，進行檢測并判斷對所述難檢測請求是攔截還是停止阻塞。本發明提供一種基于Nginx的新型waf設計方法，可以有效的降低傳統WAF的漏報、誤報，防止傳統WAF被繞過和0day攻擊。可實時對用戶請求進行檢測，防止各種網絡攻擊。

技術領域

本發明涉及信息安全技術領域，具體的說，是一種基于Nginx的新型WAF設計方法。

背景技術

隨著計算機技術的不斷發展，web應用越來越廣泛。Nginx作為一款輕量級的Web服務器，具有高性能的HTTP處理能力和反向代理功能，被廣泛用作WAF部署服務器。WAF是Web應用的安全保障，WAF通過執行一系列針對HTTP/HTTPS的安全策略來專門為web應用提供保護。較早的傳統WAF大多都是基于規則策略，通過判斷請求是否與規則匹配來檢測請求是否帶有攻擊行為。目前，一些WAF還加入了機器學習等算法，通過大量機器學習建立模型，從而從大量的請求中篩選出異常請求進行攔截。由于傳統WAF都是根據攻擊行為來制定規則，所以這些waf都有一些共同的缺點，即存在誤報漏報，漏報，繞過，并且無法防止0day攻擊。

發明內容

本發明的目的在于提供一種基于Nginx的新型WAF設計方法，用于解決現有技術中WAF根據攻擊行為來指定規則，存在誤報、漏報和繞過異常的問題。

本發明通過下述技術方案解決上述問題：

一種基于Nginx的新型WAF設計方法，包括：

步驟S100：配置業務源站和鏡像源站，所述業務源站用于線上業務，所述鏡像源站用于對所述線上業務進行鏡像形成鏡像業務，將WAF部署在Nginx服務器中，并且部署在所述線上業務和鏡像業務的前端；

步驟S200：WAF采用通用規則攔截攻擊，并阻塞難檢測請求；

步驟S300：WAF將所述難檢測請求轉發到所述鏡像業務，并根據鏡像業務返回的響應，進行檢測并判斷對所述難檢測請求是攔截還是停止阻塞。

Original location采用下面的配置代碼：

在Original中配置業務源站，當需要添加鏡像模塊時，只需要在原本的業務源站配置中添加original配置代碼。當確定正常的URL匹配到original location時，Nginx會按正常的流程處理請求，對于用戶和業務源站來說，沒有任何變化。只是當請求匹配originallocation時，Nginx后臺會通過mirror指令將請求復制一份到指定的鏡像業務源站，鏡像業務源站的響應返回會被Nginx忽略，所以通過這種部署方式，鏡像業務源站不會對線上的業務源站造成影響。當不確定請求到達時，則需要暫時阻塞請求，然后將請求鏡像至鏡像業務。當鏡像請求到達Mirror location時，nginx會將該請求轉發到鏡像業務，根據鏡像業務的響應，由Nginx中的特殊規則判斷請求是否合法，如果不合法直接攔截，否則停止用戶請求的阻塞，將請求轉發到線上業務。由于鏡像業務是對線上業務的模擬，因此可以保證響應特征的相似性，從而準確的判斷是否為正常請求，并且檢測過程中不會對線上業務造成特別大的影響。

進一步地，所述步驟S300具體包括：

步驟S310：Nginx的ngx_http_mirror_modulek模塊，將所述難檢測請求進行鏡像并轉發到所述鏡像業務；

步驟S320：鏡像業務根據所述難檢測請求做出響應并返回WAF，所述響應與線上業務相同；