本發明公開了一種內生安全WAF構造方法，該方法為了避免因WAF自身的安全問題引起的安全隱患，對云服務器、虛擬化容器、容器內的操作系統、WAF平臺、攔截規則等進行內生安全處理，通過結構化變化，使WAF形成內生安全防御能力。當訪問發生時，通過特定調度的方式分配異構云服務器以及異構WAF容器，當規則匹配通過后，對流量放行；當規則匹配不通過時，將流量轉發到其它處理模塊。此外，通過人工干預及負反饋調節兩種機制，對WAF容器進行下線操作。本發明避免了WAF防護規則庫被惡意繞過、WAF平臺的自身漏洞、服務器底層操作系統被攻擊等威脅，攔截非法請求的同時，加固WAF自身服務。

技術領域

本發明屬于網絡安全技術領域，尤其涉及一種內生安全WAF構造方法。

背景技術

傳統的Web應用防火墻(Web Application Firewall，WAF)存在部署在單一服務器中的情況，對于這種情況下，對來自用戶的流量和內容進行檢測，判斷其安全性與合法性。這種部署方式存在一定的不足，如防護規則庫被惡意繞過、利用WAF平臺的自身漏洞、操作系統的漏洞或者云平臺的漏洞進行攻擊等，因此面臨嚴重的安全威脅。本發明通過對云服務器、虛擬化容器、容器內的操作系統、WAF平臺、攔截規則等進行異構化處理，通過結構化的變化，使WAF形成內生安全防御能力。

發明內容

本發明的目的在于針對現有技術的不足，提供一種內生安全WAF構造方法。本發明對WAF架構進行優化，將流量調度到異構服務器中的異構WAF容器，完成WAF應有功能的同時，加固WAF自身安全性。

本發明的目的是通過以下技術方案來實現的：一種內生安全WAF構造方法，該方法包括以下步驟：

(1)搭建異構云服務器，具體為：

(1.1)部署M個云服務器C＝{c_i|i＝1，2，...，M}，其中c_i為第i個云服務器；

(1.2)對C進行異構化處理；

(2)部署異構WAF容器，具體為：

(2.1)在各個云服務器c_i內部署N個微容器，R＝{r_j|j＝1，2，...，N}，其中r_j表示第j個微容器；

(2.2)對各微容器r_j部署異構操作系統O、異構WAF平臺W、異構規則庫G，即r_j＝{(O_j，W_j，G_j)|j＝1，2，...，N}。

(3)規定異構WAF服務器下線規則，具體為：

(3.1)人工干預模式：基于時間片的方式，規定每隔T時間對各微容器r_i進行下線清洗，須保證同一時間內處于上線狀態的微容器個數不少于M*N/2，其中T可設置區間為[10min，30min]；

(3.2)基于負反饋的清洗模式：根據云服務器及微容器的性能、規定時間內被檢測到遭受攻擊的概率等進行下線切換。

上述兩種模式中，下線后按照預設方式重置所有環境及配置。

(4)為WAF配置后端服務器信息S＝{s_k|k＝1，2，...，K}及負載均衡策略Lb，即攔截放行后流量轉發到的后端服務器。

(5)將服務域名通過DNS解析到各云服務器C。

(6)流量經過DNS或者負載均衡解析到c_i后，隨機選擇上線狀態的r_i進行規則匹配，通過后根據Lb轉發到后端服務器s_i；若不通過則轉發到后續處理模塊。