一種Web應用防火墻的實現系統及方法，所述系統包括：Nginx系統，用于在用戶的web請求轉發給web應用服務器之后，將所述web請求的相關信息記錄到訪問日志中；檢測系統，用于從Kafka隊列讀取實時的訪問日志，根據預設的檢測模型判斷用戶是否需要攔截，如果需要攔截，則將需要攔截的用戶特征下發至攔截系統；攔截系統，用于將檢測系統發送的需要攔截的用戶特征更新至本地的黑名單；檢測新的web請求的用戶特征是否命中黑名單，如果命中黑名單則攔截該web請求，如果沒有命中則將該web請求轉發給web應用服務器；本發明通過將檢測系統分離到獨立的集群中,即不影響web請求的響應時長,也影響服務的穩定性,還可以加載更復雜的檢測模型。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種Web應用防火墻的實現系統及方法。

背景技術

現有技術實現web應用防火墻通常是：負載均衡服務器收到用戶發送的web請求，負載均衡服務器上的檢測系統開始檢測該Web請求是否正常,并將結果發給負載均衡服務器上的攔截系統，如果該web請求正常，攔截系統會放行該請求，將請求轉發給應用服務器；否則會進行攔截，不進行轉發。

綜上所述：在現有技術中存在以下問題：

影響web請求的響應時長，一個正常的web請求會經過：負載均衡服務器、檢測系統、攔截系統、應用服務器后才可以得到請求結果。其中最為耗時的為檢測系統，因為該系統會加載多種模型對web請求進行檢測。

影響業務方服務的穩定性，網絡攻擊的多樣化導致檢測系統的更新迭代比較頻繁，如果檢測系統出現問題導致系統崩潰，在這種串行的架構下，即使業務方的應用服務器在正常工作，也會導致用戶的web請求失敗。

檢測能力有限，負載均衡服務器的硬件和軟件都不以高性能計算為設計目的，所以不適合加載更多和更復雜的檢測模型，這樣不足以應對日益增多和變化頻繁的網絡攻擊。

發明內容

為實現上述目的，本發明實施例提供一種Web應用防火墻的實現系統及方法，將檢測系統分離到獨立的集群中,改串行架構為并行架構,這樣即可以不影響web請求的響應時長,也不會影響服務的穩定性,同時還可以加載更多更復雜的檢測模型,增強防火墻的檢測能力。

一方面，本發明實施例提供一種Web應用防火墻的實現系統，所述系統包括：

Nginx系統，用于在用戶的web請求轉發給web應用服務器之后，將所述web請求的相關信息記錄到訪問日志中，通過遠程數據同步rsync工具將訪問日志實時推送至分布式消息kafka隊列中；以及，在接收到新的web請求時調用以插件形式加載的攔截系統；

檢測系統，用于從Kafka隊列讀取實時的訪問日志，根據預設的檢測模型判斷用戶是否需要攔截，如果需要攔截，則將需要攔截的用戶特征下發至攔截系統；

攔截系統，用于將檢測系統發送的需要攔截的用戶特征更新至本地的黑名單；以及，在Nginx服務器的調用下，檢測新的web請求的用戶特征是否命中黑名單，如果命中黑名單則攔截該web請求，如果沒有命中則將該web請求轉發給web應用服務器。

另一方面，本發明實施例還提供一種Web應用防火墻的實現方法，所述方法包括：

Nginx系統在用戶的web請求轉發給web應用服務器之后，將所述web請求的相關信息記錄到訪問日志中，通過遠程數據同步rsync工具將訪問日志實時推送至分布式消息kafka隊列中；檢測系統從Kafka隊列讀取實時的訪問日志，根據預設的檢測模型判斷用戶是否需要攔截，如果需要攔截，則將需要攔截的用戶特征下發至攔截系統；攔截系統將檢測系統發送的需要攔截的用戶特征更新至本地的黑名單；