本發明公開了一種基于nginx請求轉發的Web防火墻擁塞控制方法，Waf通過獲取nginx狀態得到當前的訪問數，當檢測到當前訪問的qps超過了正常TPS，若繼續照當前速度處理請求，則會導致隊列排隊過長從而無法正常響應所有請求，此時為了確認超出負載的請求有多少，nginx通過統計一段時間內請求隊列的增加情況得到這段時間內隊列長度的增長率，當前方的負載均衡服務器拉取到增長率值后，會調整upstream的權重，將部分請求直接代理到業務源站，繞過waf，從而減少waf的負載，防止停機。本發明的方法可解決防火墻檢測規則過于復雜帶來的響應時間過久甚至響應錯誤的問題，在阻塞時通過直接轉發的方式來緩解防火墻壓力，從而達到保護系統安全的目的。

技術領域

本發明涉及防火墻技術領域，特別涉及一種基于nginx請求轉發的Web防火墻擁塞控制方法。

背景技術

Web應用防火墻作為現代互聯網中重要的安全防護設施，在網絡安全性的保證方面起著不可估量的作用。Web防火墻系統對網絡流量的解析較為深入，其對數據處理的復雜性也導致其吞吐量低于一般的數據包級別和流級別的防火墻，性能損失較為嚴重。當在防護一些流量或訪問量較大的網站或系統時，如何使得Web防火墻在負載請求過大時能及時調整自身策略，使得系統盡快恢復到正常工作狀態，保證系統有較好的應對能力并能持續穩定的提供服務，顯得格外重要。

目前關于應對大流量的擁塞控制策略主要是一種基于主動隊列的管理算法，該類算法以概率性丟包為基礎，提前預測網絡可能出現的擁塞。利用TCP協議工作特點，采取選擇性丟包的策略控制流量大小，對擁塞現象加以避免。

這種基于概率性丟包思想的做法被廣泛應用于路由器這種主要負責分組轉發功能的設備上，并不適用于Web防火墻這種以內容還原檢測為主要目的的系統。這種算法為緩沖區設定不同的閾值，標識出緩沖區分組數量在不同范圍內時，系統應使用的丟包概率。這種方法避免了溢出法出現的隊列抖動性現象，使得隊列長度能夠保持在一個較為平穩的范圍。

由于Web防火墻主要處理部分在HTTP層處理上，驅動有較高的轉發速率。當Web防火墻面對網絡負載較大的情況時，采用概率丟棄思想雖然可以有效減小網絡流量，但是這樣會造成用戶請求響應緩慢，影響用戶的正常業務處理，不能充分發揮Web防火墻的高速轉發的功能。

Nginx是一個輕量級的服務器，具有轉發速度快，內存占用小，并發能力強等優點，nginx的配置文件很容易與C，lua等語言結合，制定訪問規則容易。目前有不少waf(網站應用級入侵防御系統)是基于nginx添加檢測規則來實現的。本發明即針對基于nginx的web防火墻在規則復雜時性能損耗較大的特點，結合阻塞隊列和qps檢測的思想，提出一種基于請求轉發的擁塞控制方法。旨在提高防火墻的業務吞吐量，降低系統的丟包率

發明內容

本發明的目的是克服上述背景技術中不足，提供一種基于nginx請求轉發的Web防火墻擁塞控制方法，旨在解決現有的基于nginx的web應用防火墻(下文均簡稱為waf)對業務性能損耗過大的不足，目的在于提升waf的吞吐量，減小用戶與業務源站間的性能損耗，增強waf處理請求的能力。

為了達到上述的技術效果，本發明采取以下技術方案：

一種基于nginx請求轉發的Web防火墻擁塞控制方法，其特征在于，包括以下步驟：

A.統計web防火墻的吞吐量，在業務請求量正常的情況下在一段時間內連續統計nginx當前的請求隊列長度和每秒查詢率qps，其中，在隊列長度穩定的情況下對應的每秒查詢率qps就是web防火墻的系統吞吐量TPS，穩定的隊列長度即當前網絡環境下正常的隊列長度L_m；