本發(fā)明涉及互聯(lián)網(wǎng)應(yīng)用技術(shù)領(lǐng)域，尤其涉及一種云環(huán)境下web防火墻透明模式數(shù)據(jù)流傳輸方法。

背景技術(shù)：

隨著互聯(lián)網(wǎng)發(fā)展，電子商務(wù)、電子政務(wù)，網(wǎng)上銀行的盛行，web服務(wù)器所承載的業(yè)務(wù)價(jià)值越來越高，web服務(wù)器所面臨的安全威脅也隨之增大?；诖酸槍eb應(yīng)用的防御成為必然趨勢，web應(yīng)用防火墻產(chǎn)品開始流行起來。web應(yīng)用防火墻是針對web應(yīng)用的防火墻，其功能主要針對黑客發(fā)起的一系列web應(yīng)用方面的攻擊行為進(jìn)行防御。在web防火墻透明模式下，流量經(jīng)過web防火墻不會發(fā)生任何改變，在部署上，對現(xiàn)有的網(wǎng)絡(luò)環(huán)境不會發(fā)送任何改變，能快速的實(shí)現(xiàn)”即插即用”。

傳統(tǒng)的web防火墻主要以軟硬件一體機(jī)的形式實(shí)現(xiàn)，實(shí)行單機(jī)管理，性能主要依賴于硬件的配置；可靠性即依賴于軟件架構(gòu)，又依賴于硬件平臺的穩(wěn)定性。

隨著云計(jì)算的快速發(fā)展，云計(jì)算以其資源的池化、集中的管理、高可靠性、自動化部署運(yùn)維等優(yōu)異的特性，越來越受到各領(lǐng)域的親睞。無論是數(shù)據(jù)中心的公有云部署，還是企業(yè)的私有云及混合云的布局，都已經(jīng)成為不可阻擋的趨勢，云計(jì)算也切切實(shí)實(shí)的帶來了對capex和opex的降低。在nfv(networkfunctionvirtualization，網(wǎng)絡(luò)功能虛擬化)的一波新的技術(shù)革命潮流下，傳統(tǒng)設(shè)備廠商以“專用設(shè)備硬件為王”的局面正在被nfv模式所顛覆，網(wǎng)絡(luò)功能虛擬化及虛擬化增值業(yè)務(wù)產(chǎn)品將邁上新的歷史舞臺。

waf(webapplicationfirewall，web應(yīng)用防火墻)通過云模式進(jìn)行部署，在通用服務(wù)器上以虛擬化形式部署，通用服務(wù)器連接在交換機(jī)上。對于防護(hù)業(yè)務(wù)需要將請求報(bào)文先送到waf，然后waf與web服務(wù)器通信，如圖1所示，報(bào)文要從交換機(jī)1口進(jìn)去，通過流規(guī)則進(jìn)入到waf所在host與交換機(jī)連接的2口，waf到web服務(wù)器的報(bào)文需要配置流規(guī)則從交換機(jī)的2口到3口。

傳統(tǒng)交換機(jī)可以通過配置acl(訪問控制規(guī)則,accesscontrollist)規(guī)則，但是傳統(tǒng)交換機(jī)有缺陷。交換機(jī)通過acl規(guī)則轉(zhuǎn)發(fā)和mac 地址學(xué)習(xí)是兩個(gè)獨(dú)立的過程，也就是說交換機(jī)進(jìn)行acl規(guī)則轉(zhuǎn)發(fā)的同時(shí)也會進(jìn)行mac地址學(xué)習(xí)，這個(gè)特點(diǎn)在云環(huán)境透明模式就遇到了問題。從1口進(jìn)入交換機(jī)的數(shù)據(jù)包和從2口進(jìn)入交換機(jī)的數(shù)據(jù)包五元組相同，這樣造成的結(jié)果是web服務(wù)器在交換機(jī)的mac表項(xiàng)一會兒漂在交換機(jī)1口，一會兒漂在2口。waf是防護(hù)七層的服務(wù)，對ping、ssh等七層以下的服務(wù)不做防護(hù)，也就是說對于ping或ssh等服務(wù)不經(jīng)過waf直接訪問web服務(wù)器，交換機(jī)上web服務(wù)器mac表項(xiàng)的漂移造成對web服務(wù)器七層以下的服務(wù)訪問不通。

技術(shù)實(shí)現(xiàn)要素：

鑒于目前互聯(lián)網(wǎng)應(yīng)用技術(shù)領(lǐng)域存在的上述不足，本發(fā)明提供一種云環(huán)境下web防火墻透明模式數(shù)據(jù)流傳輸方法，統(tǒng)一傳輸方案，簡化透明流規(guī)則的配置。

為達(dá)到上述目的，本發(fā)明的實(shí)施例采用如下技術(shù)方案：

一種云環(huán)境下web防火墻透明模式數(shù)據(jù)流傳輸方法，所述云環(huán)境下web防火墻透明模式數(shù)據(jù)流傳輸方法包括以下步驟：

通過云模式在通用服務(wù)器上以虛擬化形式部署web應(yīng)用防火墻(以下簡稱waf)；

當(dāng)用戶發(fā)起訪問請求時(shí)，請求報(bào)文會先經(jīng)過waf進(jìn)行檢測；

檢測無問題再將請求報(bào)文轉(zhuǎn)發(fā)給后端的web服務(wù)器；

web服務(wù)器響應(yīng)后將響應(yīng)報(bào)文送到waf；

waf處理后將響應(yīng)報(bào)文向客戶端發(fā)送。

依照本發(fā)明的一個(gè)方面，所述請求的處理流程包括：外部訪問流進(jìn)入web所在物理服務(wù)器；由于web服務(wù)器配置了安全防護(hù)需求，將請求流引向waf；如果waf與web服務(wù)器部署在相同物理服務(wù)器，將請求直接送到waf再送到web服務(wù)器；如果waf與web服務(wù)器跨物理服務(wù)器，在waf與web服務(wù)器所在物理服務(wù)器之間建立隧道，兩者之間通過隧道進(jìn)行通信。

依照本發(fā)明的一個(gè)方面，所述當(dāng)waf與web服務(wù)器跨物理服務(wù)器時(shí)，請求處理流程具體為：先將請求送到web服務(wù)器所在物理服務(wù)器，然后通過隧道將請求報(bào)文送到waf所在物理服務(wù)器；waf所在物理服務(wù)器收到隧道報(bào)文后，封裝報(bào)文，并將請求發(fā)送給waf進(jìn)行安全檢測； waf安全檢測后，將報(bào)文通過隧道發(fā)送給web服務(wù)器所在的物理服務(wù)器；web所在物理服務(wù)器收到隧道報(bào)文后，進(jìn)行解封裝，然后發(fā)送給web服務(wù)器。

依照本發(fā)明的一個(gè)方面，如果waf與web服務(wù)器在相同物理服務(wù)器，所述響應(yīng)的處理流程為：web服務(wù)器將響應(yīng)報(bào)文送到waf，waf處理后將響應(yīng)報(bào)文送出物理服務(wù)器，向客戶端發(fā)送。

依照本發(fā)明的一個(gè)方面，如果waf與web服務(wù)器跨物理服務(wù)器，所述響應(yīng)的處理流程為：web服務(wù)器響應(yīng)報(bào)文，通過隧道將響應(yīng)報(bào)文送到waf所在物理服務(wù)器；waf所在物理服務(wù)器收到隧道報(bào)文后，封裝報(bào)文，并將響應(yīng)報(bào)文發(fā)送給waf進(jìn)行處理；waf處理響應(yīng)報(bào)文后，將報(bào)文通過隧道發(fā)送給web服務(wù)器所在物理服務(wù)器；web所在物理服務(wù)器收到隧道報(bào)文后，進(jìn)行解封裝，然后送出物理服務(wù)器，向客戶端發(fā)送。

依照本發(fā)明的一個(gè)方面，所述當(dāng)用戶發(fā)起訪問請求時(shí)，請求先到web服務(wù)器所在的物理服務(wù)器。

依照本發(fā)明的一個(gè)方面，所述請求和響應(yīng)的數(shù)據(jù)包經(jīng)過waf后不改變ip、mac信息。

本發(fā)明實(shí)施的優(yōu)點(diǎn)：本發(fā)明所述的云環(huán)境下web防火墻透明模式數(shù)據(jù)流傳輸方法包括：通過云模式在通用服務(wù)器上以虛擬化形式部署waf；當(dāng)用戶發(fā)起訪問請求時(shí)，請求報(bào)文會先經(jīng)過waf進(jìn)行檢測；檢測無問題再將請求報(bào)文轉(zhuǎn)發(fā)給后端的web服務(wù)器；web服務(wù)器響應(yīng)后將響應(yīng)報(bào)文送到waf；waf處理后將響應(yīng)報(bào)文向客戶端發(fā)送，采用統(tǒng)一的方案，即internet用戶請求訪問web服務(wù)器，還是數(shù)據(jù)中心內(nèi)部用戶請求訪問web服務(wù)器都先到web服務(wù)器所在的物理服務(wù)器，基于請求的數(shù)據(jù)包目的ip和mac，通過傳統(tǒng)交換機(jī)l2/l3層轉(zhuǎn)發(fā)功能，直接送到web服務(wù)器所在物理服務(wù)器，簡化了透明流規(guī)則的配置；進(jìn)一步的，當(dāng)waf與web服務(wù)器跨物理服務(wù)器通信走隧道時(shí)，解決了數(shù)據(jù)包進(jìn)入交換機(jī)和waf防護(hù)進(jìn)入web服務(wù)器五元組相同導(dǎo)致的交換機(jī)mac地址混亂，從而導(dǎo)致waf與web服務(wù)器之間不能通信。使得透明部署模式對交換機(jī)沒有依賴，支持l2/l3轉(zhuǎn)發(fā)功能的交換機(jī)都適用。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案，下面將對實(shí)施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖 僅僅是本發(fā)明的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明背景技術(shù)所述的防護(hù)業(yè)務(wù)數(shù)據(jù)流傳輸示意圖；

圖2為本發(fā)明所述的一種云環(huán)境下web防火墻透明模式數(shù)據(jù)流傳輸方法示意圖；

圖3為本發(fā)明所述的一種云環(huán)境下web防火墻透明模式數(shù)據(jù)流傳輸示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

如圖1、圖2和圖3所示，一種云環(huán)境下web防火墻透明模式數(shù)據(jù)流傳輸方法，所述云環(huán)境下web防火墻透明模式數(shù)據(jù)流傳輸方法包括以下步驟：

步驟s1：通過云模式在通用服務(wù)器上以虛擬化形式部署waf；

步驟s2：當(dāng)用戶發(fā)起訪問請求時(shí)，請求報(bào)文會先經(jīng)過waf進(jìn)行檢測；

所述步驟s2當(dāng)用戶發(fā)起訪問請求時(shí)，請求報(bào)文會先經(jīng)過waf進(jìn)行檢測的具體實(shí)施方式可為：當(dāng)用戶發(fā)起訪問請求時(shí)，訪問的目的地址為web服務(wù)器，為了實(shí)現(xiàn)安全防護(hù)，需要將請求首先引向waf進(jìn)行安全檢測。

步驟s3：檢測無問題再將請求報(bào)文轉(zhuǎn)發(fā)給后端的web服務(wù)器；

在實(shí)際應(yīng)用中，若waf與web服務(wù)器部署在相同物理服務(wù)器，將檢測后的請求直接由waf送到web服務(wù)器。

若waf與web服務(wù)器跨物理服務(wù)器，則在waf與web服務(wù)器所在物理服務(wù)器之間建立隧道，兩個(gè)之間的通過隧道進(jìn)行通信，具體流程如下：waf安全檢測后，將報(bào)文通過隧道發(fā)送給web服務(wù)器所在的物理服務(wù)器，web所在物理服務(wù)器收到隧道報(bào)文后，發(fā)送給web服務(wù)器。

步驟s4：web服務(wù)器響應(yīng)后將響應(yīng)報(bào)文送到waf；

若waf與web服務(wù)器部署在相同物理服務(wù)器，web服務(wù)器將響應(yīng)報(bào)文直接送到waf。

若waf與web服務(wù)器跨物理服務(wù)器，則需要通過隧道通信進(jìn)行處理。

步驟s5：waf處理后將響應(yīng)報(bào)文向客戶端發(fā)送。

在實(shí)際應(yīng)用中，所述用戶訪問請求的處理流程包括：

外部訪問流進(jìn)入web所在物理服務(wù)器，由于web服務(wù)器配置了安全防護(hù)需求，將請求流引向waf；

如果waf與web服務(wù)器部署在相同物理服務(wù)器，將請求直接送到waf再送到web服務(wù)器；

如果waf與web服務(wù)器跨物理服務(wù)器，在waf與web服務(wù)器所在物理服務(wù)器之間建立隧道，兩者之間通過隧道進(jìn)行通信。

所述當(dāng)waf與web服務(wù)器跨物理服務(wù)器時(shí)，其請求處理流程具體為：

先將請求送到web服務(wù)器所在物理服務(wù)器，然后通過隧道將請求報(bào)文送到waf所在物理服務(wù)器；

waf所在物理服務(wù)器收到隧道報(bào)文后，封裝報(bào)文，并將請求發(fā)送給waf進(jìn)行安全檢測；

waf安全檢測后，將報(bào)文通過隧道發(fā)送給web服務(wù)器所在的物理服務(wù)器；

web所在物理服務(wù)器收到隧道報(bào)文后，進(jìn)行解封裝，然后發(fā)送給web服務(wù)器。

在實(shí)際應(yīng)用中，所述web服務(wù)器響應(yīng)的處理流程如下：

如果waf與web服務(wù)器在相同物理物理服務(wù)器，所述響應(yīng)的處理流程具體為：web服務(wù)器直接將響應(yīng)報(bào)文送到同物理服務(wù)器的waf，waf處理后將響應(yīng)報(bào)文送出物理服務(wù)器，然后向客戶端發(fā)送。

如果waf與web服務(wù)器跨物理物理服務(wù)器，所述響應(yīng)的處理流程具體為：web服務(wù)器響應(yīng)報(bào)文，通過隧道將響應(yīng)報(bào)文送到waf所在物理服務(wù)器；waf所在物理服務(wù)器收到隧道報(bào)文后，封裝報(bào)文，并將響應(yīng)報(bào)文發(fā)送給waf進(jìn)行處理；waf處理響應(yīng)報(bào)文后，將報(bào)文通過隧道發(fā)送給web服務(wù)器所在物理服務(wù)器；web所在物理服務(wù)器收到隧道報(bào)文后，進(jìn) 行解封裝，然后送出物理服務(wù)器，向客戶端發(fā)送。

在實(shí)際應(yīng)用中，所述請求和響應(yīng)的數(shù)據(jù)包經(jīng)過waf后不改變ip、mac信息。

本發(fā)明實(shí)施的優(yōu)點(diǎn)：本發(fā)明所述的云環(huán)境下web防火墻透明模式數(shù)據(jù)流傳輸方法包括：通過云模式在通用服務(wù)器上以虛擬化形式部署waf；當(dāng)用戶發(fā)起訪問請求時(shí)，請求報(bào)文會先經(jīng)過waf進(jìn)行檢測；檢測無問題再將請求報(bào)文轉(zhuǎn)發(fā)給后端的web服務(wù)器；web服務(wù)器響應(yīng)后將響應(yīng)報(bào)文送到waf；waf處理后將響應(yīng)報(bào)文向客戶端發(fā)送，采用統(tǒng)一的方案，即internet用戶請求訪問web服務(wù)器，還是數(shù)據(jù)中心內(nèi)部用戶請求訪問web服務(wù)器都先到web服務(wù)器所在的物理服務(wù)器，基于請求的數(shù)據(jù)包目的ip和mac，通過傳統(tǒng)交換機(jī)l2/l3層轉(zhuǎn)發(fā)功能，直接送到web服務(wù)器所在物理服務(wù)器，簡化了透明流規(guī)則的配置；進(jìn)一步的，當(dāng)waf與web服務(wù)器跨物理服務(wù)器通信走隧道時(shí)，解決了數(shù)據(jù)包進(jìn)入交換機(jī)和waf防護(hù)進(jìn)入web服務(wù)器五元組相同導(dǎo)致的交換機(jī)mac地址混亂，從而導(dǎo)致waf與web服務(wù)器之間不能通信。使得透明部署模式對交換機(jī)沒有依賴，支持l2/l3轉(zhuǎn)發(fā)功能的交換機(jī)都適用。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本領(lǐng)域技術(shù)的技術(shù)人員在本發(fā)明公開的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)。