专利名称:一种Web网站安全防御系统的制作方法
技术领域:
本发明涉及网络安全领域,具体涉及一种Web网站安全防御系统。
背景技术:
中国互联网络信息中心(CNNIC)发布的《第23次中国互联网络发展状况统计报 告》显示,截至2008年底,中国的网站数达到287. 8万个。2008年中国网站数较2007年增 长91. 4%,是2000年以来增长最快的一年。截至2008年底,中国网页总数超过160亿个, 较2007年增长90%。网页的增长速度与网站的增速基本一致。但与此同时,国内Web网站的安全状况堪忧。据不完全统计,国内有60%以上的网 站都存在Web安全漏洞,包括各种SQL注入漏洞、跨站脚本攻击漏洞等,并且很多网站已经 遭受到各种Web攻击,例如网页被挂马、网站SQL注入、网页被篡改等等,并且这种Web攻击 趋势正在愈演愈烈。为保障Web网站的安全,有经济实力的企事业单位一般都购买和部署专门的Web 安全网关(一般也成为Web应用防火墙,以下简称为Web应用防火墙)来防御针对其Web 网站的安全攻击。Web应用防火墙属于一种网关型设备,它作为Web服务器安全的最后一 道防线,以串接方式部署在Web服务器的最前面,扫描进入Web服务器的所有HTTP请求,当 发现针对Web服务器的恶意入侵时,将阻止该HTTP请求提交到后台的Web服务器,从而最 大限度的保障Web服务器的安全。与此同时,一些Web应用防火墙还对返回给Web客户端 的HTML页面进行内容扫描,当发现恶意代码时,将阻止该HTML页面发送到Web客户端,从 而保障Web客户端免遭恶意代码的侵袭。Web应用防火墙能够在很大程度上保障Web网站的安全,但是,常见的Web应用防 火墙都是网关设备,它以串行方式部署在Web服务器的前面,形成一种各自为政的Web网站 安全防御架构(如图1所示)。但是,这种各自为政的Web网站安全防御架构在实际应用中会带来很多限制,这 主要表现在以下几个方面当前的Web应用防火墙都是网关设备,它必须以串行方式部署在Web网站的前面, 这种部署上的限制在现实情况中导致很多不便;当前,很多企业为了业务上的方便,部署了多个Web网站,并且,这些Web网站分布 在不同的地方,这样他们不得不为每个网站购买一个Web应用防火墙设备来保障其各个网 站的安全,这将导致在安全方面的巨大开销;由于经费方面的限制,成千上万的企业是通过租用IDCdnternet DataCentenS 联网数据中心)的Web空间来构建其Web网站的,没有财力去购买这种几万元的Web应用 防火墙来保障其Web网站的安全。
发明内容
本发明要解决的技术问题是提供一种Web网站安全防御系统,部署位置不受串行部署的限制,支持分布式部署,无需修改Web客户端和Web服务器配置,节省安全方面的成 本,并且兼容性好,可伸缩性强。为了解决上述问题,本发明提供了一种Web网站安全防御系统,包括流量牵引器及Web安全检测器;所述流量牵引器与DNS服务器相连,用于从DNS服务器接收客户端的DNS域名解 析请求,将该域名解析为所述Web安全检测器的IP地址,返回给所述客户端;所述Web安全检测器用于接收HTTP请求消息,对该HTTP请求消息进行入侵检测, 如果未发现异常,则将该HTTP请求消息转发给该HTTP请求消息所指向的Web网站。进一步地,所述Web安全检测器包括一个或多个,各Web安全检测器的IP地址互 不相同。进一步地,所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包 括所述流量牵引器保存各Web安全检测器的IP地址,从各Web安全检测器中选取负 载最轻的Web安全检测器,将所述域名解析为该负载最轻的Web安全检测器的IP地址。进一步地,所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包 括所述流量牵引器保存各Web安全检测器的IP地址,将所述域名解析为所述各Web 安全检测器所对应的IP地址的集合。进一步地,所述Web安全检测器分散部署在互联网中;所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包括所述流量牵引器保存各Web安全检测器的IP地址,将所述域名解析为距离发送所 述DNS域名解析请求的客户端最近的Web安全检测器的IP地址。进一步地,所述Web安全检测器还用于接收Web网站返回的HTTP响应消息,对其 中携带的HTTP文件对象进行内容安全扫描,如果未发现异常则将所述HTTP响应消息转发 给该HTTP响应消息的目的客户端。进一步地,所述的系统还包括Web安全日志库;所述Web安全检测器还用于当发现异常时产生Web安全报警日志;所述Web安全日志库用于接收来自Web安全检测器的Web安全报警日志并保存。进一步地,所述Web安全检测器具体包括Web代理模块,用于接收由客户端发往受保护Web服务器的HTTP请求消息,交给 所述安全模块进行入侵检测,接收所述安全模块返回的入侵检测结果,如果该入侵检测结 果为检测到Web攻击,则拒绝转发,否则转发该HTTP请求消息到该HTTP请求消息所指向的 Web网站;以及当接收到来自Web网站的HTTP响应消息后,抽取出该HTTP响应消息中携带 的HTTP文件对象,交给所述安全模块进行安全扫描,接收所述安全模块返回的安全扫描结 果,如果该安全扫描结果为检测到恶意代码,则拒绝转发或用一个预先制作好的提示页面 替换包含恶意代码的HTML页面后发给相应的客户端,否则转发该HTTP相应消息到相应的 客户端;所述安全模块用于当收到所述Web代理模块发送的HTTP请求消息时,对该HTTP请求消息进行入侵检测,返回入侵检测结果;当收到所述Web代理模块发送的HTTP文件对 象时,对该HTTP文件对象进行安全扫描,返回安全扫描结果。进一步地,所述流量牵引器具体包括DNS服务模块及网站域名注册模块。所述DNS服务模块用于从DNS服务器接收客户端发送来的DNS域名解析请求,将 该域名解析为所述Web安全检测器的IP地址,返回给所述客户端;所述网站域名注册模块用于对所有受保护的Web网站的注册,当一个受保护的 Web网站被注册成功后,记录该Web网站的域名及其对应的IP地址。进一步地,所述Web安全检测器转发所述HTTP请求消息时,根据该HTTP请求消息 中的目标域名查询所述网站域名注册模块的记录,找到该域名对应的IP地址,将所述HTTP 请求消息转发到所找到的IP地址。本发明的技术方案不受传统Web应用防火墙部署位置的限制,允许为多个Web网 站同时提供Web安全防护,可以大大节省企业在安全方面的开销;也允许有实力的安全服 务公司部署一个公共的Web网站安全防御系统,使得成千上万的中小企业网站可以租用该 公共Web安全防御系统提供的Web安全防御服务来保障其Web网站的安全,也可大大节约 费用开支;而且本发明的Web网站安全防御系统对Web客户端和受保护的Web网站来说是 透明的,无须对Web客户端和受保护的Web网站程序代码进行任何修改,兼容性好;另外,本 发明所述开放式Web网站安全防御系统伸缩性强,可以根据需要本系统增加或减少Web安 全检测器。
图1为传统的Web网站安全防御的架构示意图;图2为实施例一的Web网站安全防御系统的架构示意图;图3为实施例一的Web网站安全防御系统的结构示意图;图4为实施例一中包含Web安全日志库的Web网站安全防御系统的结构示意图;图5为实施例一的Web网站安全防御系统中Web安全检测器的结构示意图;图6为实施例一的Web网站安全防御系统中流量牵引器的结构示意图;图7为实施例一中,某Web客户端访问Web网站安全防御系统保护的Web网站的 流程示意图;图8为实施例一中,某Web客户端访问受保护Web网站过程的实例。
具体实施例方式下面将结合附图及实施例对本发明的技术方案进行更详细的说明。实施例一,一种Web网站安全防御系统,如图2所示,设置于公共互联网中、Web 客户端和受保护的Web网站之间,以使得Web客户端用户——不管是正常用户还是恶意用 户——通过该Web网站安全防御系统来访问受保护的Web网站。本实施例的Web网站安全防御系统采用DNS接管技术来实现HTTP流量的流量牵 引,使得原本直接发往受保护Web网站的所有HTTP流量必须先流经本实施例提供的Web网 站安全防御系统后再发往受保护Web网站,这样,本实施例的Web网站安全防御系统有机会
6对所有发往受保护Web网站的HTTP流量进行安全检测。由于采用了流量牵引技术,因此, 在物理网络连接上并不要求该Web网站安全防御系统串联到Web客户端和受保护的Web网 站之间,它可以部署在互联网上任何位置。本实施例的Web网站安全防御系统作为Web客户端和Web服务器之间的访问中介 真实存在,但对Web客户端和Web服务器两端来说都是透明的,它犹如一朵漂浮在互联网络 上的“云”,负责检测Web客户端和受保护Web网站之间的所有HTTP流量。本实施例的Web 网站安全防御系统可以在传统的分布式计算平台上实施,也可以采用最新的基于互联网的 分布式计算平台实现,比如“云计算”平台。本实施例的Web网站安全防御系统类似于一个HTTP流量的“集散中心”,采用DNS 接管技术来实现对所有发往受保护Web网站的HTTP流量的“集散”,使得所有原本直接发往 受保护Web网站的HTTP流量必须先在开放式Web网站安全防御系统“聚集”后,经过安全 扫描再“分发”到受保护的Web网站;这样,将有机会对转发的HTTP请求消息和HTTP响应 消息进行安全检查。本实施例的所述Web网站安全防御系统如图3所示,包括流量牵引器及Web安全检测器;所述流量牵引器与DNS服务器相连,用于从DNS服务器接收客户端的DNS域名解 析请求,将该域名解析为所述Web安全检测器的IP地址,返回给所述客户端;可以直接返 回,也可通过所述DNS服务器或其它设备返回;所述Web安全检测器用于接收HTTP请求消息,对该HTTP请求消息进行入侵检测, 如果未发现异常,则将该HTTP请求消息转发给该HTTP请求消息所指向的Web网站。本实施例的所述流量牵引器将原本从Web客户端直接发往受保护Web网站的HTTP 流量“牵弓丨”至本发明所述Web网站安全防御系统;所述Web安全检测器作为Web客户端和 受保护Web网站之间的数据传输代理,基于应用层代理技术创建从Web客户端到指定的Web 网站的数据传输通道,转发Web客户端和受保护Web网站之间的所有安全的HTTP流量。本实施例中的Web安全检测器并不同于传统的Web代理,传统的Web代理在使用 时对用户来说是不透明的,需要Web客户端知道Web代理的IP地址。而本实施例中的Web 安全检测器对Web客户端来说是透明的,无需Web客户端做任何配置的修改;在Web访问 中,Web客户端通过域名解析得到Web安全检测器的IP地址;因此,从Web客户的角度来看, Web客户要访问的Web网站好像是在Web安全检测器上,可以像平常一样采用HTTP协议访 问Web安全检测器。当使用了本实施例的Web网站安全防御系统后,为防止恶意Web客户端绕过该Web 网站安全防御系统直接对受保护的Web网站发起攻击,Web网站管理员可以对其Web网站 服务器做一些限制措施,比如可以限制受保护的Web网站只接收来自本实施例的Web网站 防御系统转发的HTTP请求消息,也可以限制受保护Web网站只接收携带了本实施例的Web 网站防御系统签名的HTTP流量,从而对这些Web网站进行安全防御。本实施例中,所述Web安全检测器包括一个或多个,各Web安全检测器的IP地址 互不相同;可以但不限于采用Web安全检测器池存放该一个或多个Web安全检测器。本实施例中,所述Web安全检测器池中的Web安全检测器可以根据需要进行添加 和删除,而不影响本Web网站安全防御系统的正常工作,只要保证至少存在一个Web安全检测器即可。本实施例的一种实施方式中,所述流量牵引器将域名解析为所述Web安全检测器 的IP地址具体包括所述流量牵引器保存各Web安全检测器的IP地址,从各Web安全检测器中选取负 载最轻的Web安全检测器,将所述域名解析为该负载最轻的Web安全检测器的IP地址。本实施例的另一种实施方式中,所述流量牵引器将域名解析为所述Web安全检测 器的IP地址具体包括所述流量牵引器保存各Web安全检测器的IP地址,将所述域名解析为所述各Web 安全检测器所对应的IP地址的集合。本实施例的又一种实施方式中,所述Web安全检测器可以分散部署在互联网中; 该实施方式中,所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包括所述流量牵引器保存各Web安全检测器的IP地址,将所述域名解析为距离发送所 述DNS域名解析请求的客户端最近的Web安全检测器的IP地址,从而提高整个系统的工作效率。在本实施例中,为实现将距离最近的Web安全检测器的IP地址返回给发送所述 DNS域名解析请求的客户端,可以依据公知的IP地址分配表来实现,原则是尽量确保发送 DNS域名解析请求的客户端和为其服务的Web安全检测器在同一个网络管理域中。比如,如 果发现该DNS请求来自中国电信网络,并且在中国电信网络上存在本实施例中所述的Web 安全检测器,则返回部署在中国电信网络上的某一个或多个Web安全检测器的对应IP地址 作为本次DNS域名解析结果。本实施例中,所述Web安全检测器还用于接收Web网站返回的HTTP响应消息,对 其中携带的HTTP文件对象进行内容安全扫描,如果未发现异常则将所述HTTP响应消息转 发给相应的客户端,即该HTTP响应消息的目的客户端。所述HTTP文件对象包括HTML网页和任何可能包含恶意代码的文件或文档。所述 Web安全检测器可以采用公知的任意恶意代码检测技术对文件内容进行扫描。本实施例中,所述Web安全检测器在对接收到的来自Web客户端的HTTP请求进行 入侵检测时,检测内容包括但不限于SQL注入攻击和跨站脚本攻击等内容。在具体实施时, 可以采用公知的任意SQL注入攻击和跨站脚本攻击检测算法来实现。本实施例中,如果所述Web安全检测器在进行安全扫描/入侵检测时发现异常,则 不进行转发。所述Web安全检测器当发现HTTP响应消息中包含的HTML页面包含恶意代码 时,也可以用一个提示页面替换原先的包含恶意代码的HTML页面,还可以进一步可通过电 子邮件等方式通知该Web网站管理人员,以便该Web网站管理人员能够及时对该HTML页面 进行修复。本实施例中,如图4所示,所述Web网站安全防御系统还可以包括一个Web安全日 志库;所述Web安全检测器还用于当发现异常时产生Web安全报警日志;所述Web安全日志库用于接收并保存来自Web安全检测器的Web安全报警日志, 并允许受保护Web网站的网站管理员获取其Web网站相关的安全日志记录信息,从而在其 Web网站出现安全问题时,可以基于这些Web安全日志进行事后的取证分析。
本实施例中,所述Web安全检测器如图5所示,包括安全模块和Web代理模块;所述Web代理模块用于接收由客户端发往受保护Web服务器的HTTP请求消息,交 给所述安全模块进行入侵检测,接收所述安全模块返回的入侵检测结果,如果该入侵检测 结果为检测到Web攻击,则拒绝转发,否则转发该HTTP请求消息到该HTTP请求消息所指向 的Web网站;以及当接收到来自Web网站的HTTP响应消息后,抽取出该HTTP响应消息中携 带的HTTP文件对象,交给所述安全模块进行安全扫描,接收所述安全模块返回的安全扫描 结果,如果该安全扫描结果为检测到恶意代码,则拒绝转发或用一个预先制作好的提示页 面替换包含恶意代码的HTML页面后发给相应的客户端,否则转发该HTTP相应消息到相应 的客户端;所述安全模块用于当收到所述Web代理模块发送的HTTP请求消息时,对该HTTP 请求消息进行入侵检测,返回入侵检测结果;当收到所述Web代理模块发送的HTTP文件对 象时,对该HTTP文件对象进行安全扫描,返回安全扫描结果。本实施例中,所述流量牵引器如图6所示,包括DNS服务模块及网站域名注册模 块。所述DNS服务模块用于模拟一个标准的DNS服务,并执行对所有受保护Web网站 域名的DNS解析任务;从外部的DNS服务器接收客户端发送来DNS域名解析请求,将该域名 解析为所述Web安全检测器的IP地址,然后返回给所述客户端。与标准DNS服务不同的是,所述DNS服务模块在解析受保护Web网站域名时,返回 的并不是该Web网站域名所对应的真实IP地址,而是Web安全检测器池中某一 Web安全检 测器所对应的单个IP地址或者是一组Web安全检测器所对应的IP地址集合,这样,任何 Web客户端使用Web网站域名访问受保护Web网站时,会把原本直接发往受保护Web网站 的HTTP流量首先发给某一 Web安全检测器,这样该Web安全检测器有机会对提交到受保护 Web网站的HTTP请求消息进行入侵检测,以及对返回的HTTP响应消息中携带的HTTP文件 对象进行内容安全检测。具体实施过程中,所述DNS服务模块在解析受保护Web网站域名时,可以采用两种 实施方式1)DNS服务模块将Web安全检测器池中所有Web安全检测器的IP地址列表作为 DNS域名解析结果返回给Web客户端,由Web客户端从中挑选一个Web安全检测器执行本次 Web访问任务;2)流量牵引器通过与Web安全检测器池通信,得到当前Web安全检测器池中 负载最轻的Web安全检测器、或距离发送所述DNS域名解析请求的客户端最近的Web安全 检测器,然后将该Web安全检测器的IP地址作为DNS域名解析结果返回给Web客户端。所述网站域名注册模块用于对所有受保护的Web网站的注册管理。网站域名注册 模块负责完成对所有受保护网站的注册工作;可以维护一个“域名-真实IP列表”,当一个 受保护的Web网站被注册成功后,网站域名注册模块为该Web网站在所述“域名-真实IP 列表”中创建一条记录,记录该Web网站的域名及其对应的真实IP地址。实际应用时,可以 用“域名-真实IP列表”之外的方式来记录Web网站的域名及其对应的真实IP地址。实际应用中,也可以采用其它形式保存网站域名所对应的真实IP地址。所述Web安全检测器在转发发往受保护Web网站的HTTP请求消息时,根据所述 HTTP请求消息中的HOST字符串得到该HTTP请求消息所指向的Web网站的域名;查询所述 “域名-真实IP列表”,以得到该域名对应的真实IP地址,这样,Web安全检测器就能够转
9发所述HTTP请求消息到所找到的IP地址,即Web安全检测器创建到该HTTP请求消息所 指向的Web网站的TCP连接,然后再转发所述HTTP请求消息到该HTTP请求消息所指向的 Web网站。为了确保针对受保护Web网站域名的所有DNS域名解析请求能够转发到本发明所 述流量牵引器中的DNS服务模块,需要简单地调整原先负责解析受保护Web网站域名的外 部DNS服务器的配置,要求该外部DNS服务器将所有针对受保护Web网站域名的DNS请求 转发到本发明所述流量牵引器中的DNS服务模块。本实施例的一种实施方式中,所述流量牵引器还用于保存各受保护Web网站的域 名,从所述外部DNS服务器接收所有DNS域名解析请求,接收后先判断请求解析的域名是否 与所保存的受保护Web网站的域名之一匹配;如果匹配,则进行解析;否则返回给DNS服务 器解析。如图7所示,一个Web客户端使用Web网站域名访问受保护Web网站实例的具体 流程如下701、Web客户端向原先的负责解析受保护Web网站域名的外部DNS服务器发送 DNS域名解析请求;702、该外部DNS服务器将当前DNS域名解析请求转发到所述流量牵引器;703、所述流量牵引器中的DNS服务模块负责对该受保护Web网站域名进行解析, 它与Web安全检测器池通信,获得当前池中负载最轻的Web安全检测器,并将该Web安全检 测器所对应的IP地址作为本次DNS域名解析结果返回给Web客户端;704、Web客户端建立起到所选Web安全检测器的TCP连接,并发送HTTP请求消息 到所选Web安全检测器;705、所选Web安全检测器接收到HTTP请求消息后,对当前HTTP请求消息执行入 侵检测;706、所选Web安全检测器依据入侵检测结果执行下一步动作如果发现Web攻击, 则执行步骤712 ;否则执行步骤707 ;707、所选Web安全检测器从当前HTTP请求消息的“HOST”域中取出Web客户端需 要访问的Web网站域名,查找流量牵引器中维护的“域名-真实IP列表”得到该Web网站 域名所对应的真实IP地址,创建到该Web网站所在服务器的TCP连接,并转发当前HTTP请 求消息到该Web网站所在服务器;708、所选Web安全检测器等待并接收从受保护Web网站服务器返回的HTTP响应 消息,并从当前HTTP响应消息中抽取出HTTP文件对象,对其进行内容安全扫描;709、依据扫描结果决定下一步动作如果没有检测到恶意代码,则执行步骤710 ; 如果检测到恶意代码,则执行步骤711 ;710、直接转发当前HTTP响应消息到Web客户端,结束;711、丢弃当前HTTP响应消息,转发一个包含有预先制作的带有警告信息的HTML 页面的HTTP响应消息给Web客户端,结束;712、拒绝转发该HTTP请求消息,终止当前TCP连接,结束。图8给出了另一个实例,举例说明某Web客户端是如何通过受保护Web网站域名 访问受保护Web网站的。这里假设受本文所述开放式Web网站安全防御系统保护的两个Web网站的域名分别为www. abc. com和www. def. com,这两个Web网站所对应的真实IP地 址分别为3. 3. 3. 3和4. 4. 4. 4 ;假设负责这两个Web网站域名解析的DNS服务器为图8中 的“外部DNS服务器”;在该实例中存在两台Web安全检测器,其IP地址分别为1. 1. 1. 1和 2. 2. 2. 2。为了使得“Web网站1”和“Web网站2”能够受到本发明所述开放式Web安全防 御系统的保护,它们的网站管理员将这两个Web网站的网站域名和网站服务器的真实IP地 址信息向本发明所述Web网站安全防御系统中的流量牵引器进行注册,并修改了原先负责 为“Web网站1”和“Web网站2”进行DNS域名解析的“外部DNS服务器”的配置,使得针对 "Web网站1”和“Web网站2”网站域名的所有DNS域名解析请求都发送到本发明所述开放 式Web安全防御系统中的流量牵引器。现在来看看某客户端是如何使用Web网站域名访问受本发明所述开放式Web网站 安全防御系统保护的“Web网站1” (假设其网站域名为·ι abc. com)。801、Web客户端向原先的“外部DNS服务器”发起针对“Web网站1”域名(www. abc. com)的DNS域名解析请求;802、该DNS域名解析请求被转发到本发明所述开放式Web网站安全防御系统中的
流量牵引器;803、所述流量牵引器中的DNS服务模块接收到针对受保护Web网站域名的DNS域 名解析请求后,与所述系统中的Web安全检测器池进行通信,获得当前系统中负载最轻的 Web安全检测器为“Web安全检测器1”,于是将“Web安全检测器1”的IP地址(1. 1. 1. 1) 作为本次域名解析结果返回给Web客户端;804、Web客户端发起对“Web安全检测器1”的TCP连接请求,在TCP连接请求建 立成功后,发送一个HTTP请求消息给“Web安全检测器1” ;805,"Web安全检测器1”接收到该HTTP请求消息后,首先对该HTTP请求消息进 行入侵检测,检测结果为没有发现Web攻击,因此,“Web安全检测器1”从当前HTTP请求消 息的HOST域中提取“Web网站1”的真实域名(ymi abc. com),然后查找所述系统中流量牵 引器的“域名-真实IP列表”,得到www. abc. com域名所对应的真实IP地址为3. 3. 3. 3,最 后,“Web安全检测器1”创建到“Web网站1”主机(地址为3. 3. 3. 3)的TCP连接,并将当 前HTTP请求消息转发给“Web网站1”。806,"Web安全检测器1”接收从“Web网站1”服务器返回的HTTP响应消息,提出 其中携带的HTTP文件对象,并对其进行内容安全扫描,扫描结果提示发现恶意代码,因此 替换该HTTP文件对象为一个包含告警信息的HTML页面;807,"Web安全检测器1”转发替换后的HTTP响应消息到Web客户端,整个过程结
束ο当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟 悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变 形都应属于本发明的权利要求的保护范围。
权利要求
一种Web网站安全防御系统,其特征在于,包括流量牵引器及Web安全检测器;所述流量牵引器与DNS服务器相连,用于从DNS服务器接收客户端的DNS域名解析请求,将该域名解析为所述Web安全检测器的IP地址,返回给所述客户端;所述Web安全检测器用于接收HTTP请求消息,对该HTTP请求消息进行入侵检测,如果未发现异常,则将该HTTP请求消息转发给该HTTP请求消息所指向的Web网站。
2.如权利要求1所述的系统,其特征在于所述Web安全检测器包括一个或多个,各Web安全检测器的IP地址互不相同。
3.如权利要求2所述的系统,其特征在于,所述流量牵引器将域名解析为所述Web安全 检测器的IP地址具体包括所述流量牵引器保存各Web安全检测器的IP地址,从各Web安全检测器中选取负载最 轻的Web安全检测器,将所述域名解析为该负载最轻的Web安全检测器的IP地址。
4.如权利要求2所述的系统,其特征在于,所述流量牵引器将域名解析为所述Web安全 检测器的IP地址具体包括所述流量牵引器保存各Web安全检测器的IP地址,将所述域名解析为所述各Web安全 检测器所对应的IP地址的集合。
5.如权利要求2所述的系统,其特征在于 所述Web安全检测器分散部署在互联网中;所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包括 所述流量牵引器保存各Web安全检测器的IP地址,将所述域名解析为距离发送所述 DNS域名解析请求的客户端最近的Web安全检测器的IP地址。
6.如权利要求1到5中任一项所述的系统,其特征在于所述Web安全检测器还用于接收Web网站返回的HTTP响应消息,对其中携带的HTTP 文件对象进行内容安全扫描,如果未发现异常则将所述HTTP响应消息转发给该HTTP响应 消息的目的客户端。
7.如权利要求1到5中任一项所述的系统,其特征在于,还包括 Web安全日志库;所述Web安全检测器还用于当发现异常时产生Web安全报警日志;所述Web安全日志库用于接收来自Web安全检测器的Web安全报警日志并保存。
8.如权利要求1到5中任一项所述的系统,其特征在于,所述Web安全检测器具体包括Web代理模块,用于接收由客户端发往受保护Web服务器的HTTP请求消息,交给所述安 全模块进行入侵检测,接收所述安全模块返回的入侵检测结果,如果该入侵检测结果为检 测到Web攻击,则拒绝转发,否则转发该HTTP请求消息到该HTTP请求消息所指向的Web网 站;以及当接收到来自Web网站的HTTP响应消息后,抽取出该HTTP响应消息中携带的HTTP 文件对象,交给所述安全模块进行安全扫描,接收所述安全模块返回的安全扫描结果,如果 该安全扫描结果为检测到恶意代码,则拒绝转发或用一个预先制作好的提示页面替换包含 恶意代码的HTML页面后发给相应的客户端,否则转发该HTTP相应消息到相应的客户端; 所述安全模块用于当收到所述Web代理模块发送的HTTP请求消息时,对该HTTP请求消息进行入侵检测,返回入侵检测结果;当收到所述Web代理模块发送的HTTP文件对象时, 对该HTTP文件对象进行安全扫描,返回安全扫描结果。
9.如权利要求1到5中任一项所述的系统,其特征在于,所述流量牵引器具体包括 DNS服务模块及网站域名注册模块。所述DNS服务模块用于从DNS服务器接收客户端发送来的DNS域名解析请求,将该域 名解析为所述Web安全检测器的IP地址,返回给所述客户端;所述网站域名注册模块用于对所有受保护的Web网站的注册,当一个受保护的Web网 站被注册成功后,记录该Web网站的域名及其对应的IP地址。
10.如权利要求9所述的系统,其特征在于,所述Web安全检测器转发所述HTTP请求消息时,根据该HTTP请求消息中的目标域名 查询所述网站域名注册模块的记录,找到该域名对应的IP地址,将所述HTTP请求消息转发 到所找到的IP地址。
全文摘要
一种Web网站安全防御系统,包括流量牵引器及Web安全检测器;所述流量牵引器与DNS服务器相连,用于从DNS服务器接收客户端的DNS域名解析请求,将该域名解析为所述Web安全检测器的IP地址,返回给所述客户端;所述Web安全检测器用于接收HTTP请求消息,对该HTTP请求消息进行入侵检测,如果未发现异常,则将该HTTP请求消息转发给该HTTP请求消息所指向的Web网站。本发明部署位置不受串行部署的限制,支持分布式部署,无需修改Web客户端和Web服务器配置,节省安全方面的成本,并且兼容性好,可伸缩性强。
文档编号H04L29/12GK101902456SQ20101011077
公开日2010年12月1日 申请日期2010年2月9日 优先权日2010年2月9日
发明者叶润国, 周涛, 孙海波, 胡振宇 申请人:北京启明星辰信息技术股份有限公司