专利名称:一种网络安全防护方法、设备和系统的制作方法
一种网络安全防护方法、设备和系统技术领域
本发明方案涉及信息安全领域,尤其涉及一种网络安全防护方法、设备和系统。
技术背景
随着网络技术的不断发展,TOB作为一种普适平台,越来越多地承载了各类机构的核心业务,如电子政务、电子商务、运营商的增值业务等。针对WEB应用的各类业务的攻击也越来越多,攻击力度也越来越大,例如以网站信息被篡改为例,由于在网站的信息中加载非法代码使得该网站公布的信息被恶意篡改,结果将可能导致该网站遭受声誉损失、经济损失甚至产生一定的政治影响。
传统的安全设备(防火墙/入侵防护系统)解决WEB应用安全问题存在局限性,一方面,传统的网络防火墙自身的软件存在一定的漏洞,而这些漏洞容易被作为攻击的窗口 ; 另一方面,传统的网络防火墙不能提供实时监测的功能,使得生成的防御策略存在滞后性。
因此,随着网络技术的发展,网络安全厂商推出Web应用防火墙(Web Application Firewall, WAF)对WEB站点进行防护。但是,现有WAF所采取的安全防护方案,一般是根据各种TOB应用威胁(如SQL注入、防盗链)进行安全策略的配置,从而达到防护目的。然而每种TOB应用威胁的发生与TOB站点自身存在的漏洞密切相关,而WEB站点自身的漏洞又与WEB站点的业务逻辑密切相关。以SQL注入威胁为例,对业务A进行SQL操作时,根据业务需要会设置相关的参数a,而参数a需要满足一定的规则,例如a参数中不能包括特殊字符,否则就会被攻击者利用,造成SQL攻击,在WAF中需要设置该条规则进行防护,而业务B 本身不需要参数a,因此无需进行防护。也就是说,现有的WAF无法对TOB站点进行全面的个性化的防护策略的配置。发明内容
本发明实施例提供了一种网络安全防护方法、设备和系统,用于解决现有的WAF 无法对TOB站点进行全面个性化的安全配置的问题。
一种网络安全防护方法,该方法包括
接收扫描任务,所述扫描任务中包含待扫描TOB站点的地址信息;
根据所述地址信息与所述待扫描TOB站点建立连接,并对所述WEB站点的安全漏洞进行扫描,得到扫描结果;
将扫描结果发送给网络应用防火墙WAF,指示所述WAF根据接收到的扫描结果为所述TOB站点配置安全策略。
一种网络安全设备,该设备包括
接收模块,用于接收扫描任务,所述扫描任务中包含待扫描TOB站点的地址信息;
扫描模块,用于根据所述地址信息与所述待扫描TOB站点建立连接,并对所述WEB 站点的安全漏洞进行扫描,得到扫描结果;
发送模块,用于将扫描结果发送给网络应用防火墙WAF,指示所述WAF根据接收到的扫描结果为所述WEB站点配置安全策略。
一种网络安全防护系统,该系统包括
网络安全设备,用于接收扫描任务,并根据扫描任务中待扫描TOB站点的地址信息与所述WEB站点建立连接,对所述WEB站点的安全漏洞进行扫描,在得到扫描结果后,将扫描结果发送给网络应用防火墙WAF ;
网络应用防火墙,用于接收网络安全设备发送的扫描结果,并根据所述扫描结果为所述TOB站点配置安全策略。
本发明有益效果如下
本发明实施例通过由网络安全设备根据接收到的扫描任务,对该扫描任务指定的 WEB站点进行安全漏洞的扫描,得到扫描结果后,将扫描结果发送给WAF,以便于WAF根据接收到的扫描结果为WEB站点配置个性化的防护策略,这样就克服无法对WEB站点进行全面个性化的安全配置的问题。
图1为本实施例一的一种网络安全防护方法的流程图2为本实施例二中一种网络安全防护方法的流程图3为本实施例三的一种网络安全设备的结构示意图4为本实施例四中一种网络安全防护系统的结构示意图。
具体实施方式
为了实现本发明目的,本发明实施例提出了一种网络安全防护方法、设备和系统, 由网络安全设备根据接收到的扫描任务,对该扫描任务指定的WEB站点进行安全漏洞的扫描,得到扫描结果后,将扫描结果发送给WAF,以便于WAF根据接收到的扫描结果为TOB站点配置个性化的安全策略,这样就克服了 WAF无法对TOB站点进行全面个性化的安全配置的问题。
本发明各实施例中涉及的网络安全设备具有对TOB站点的安全漏洞进行远程扫描的设备。所述网络安全设备基于“云安全”机制,已保证实时更新漏洞库。具有对WEB站点的安全漏洞进行扫描功能的设备,所述WSP可不安装在TOB站点,而是根据WAF的触发, 为TOB站点提供远程扫描服务。
下面结合说明书附图对本发明实施例进行详细说明。
实施例一
如图1所示,为本实施例一的一种网络安全防护方法的流程图。该方法包括
步骤101 网络安全设备接收扫描任务,所述扫描任务中包含待扫描WEB站点的地址f曰息。
在本步骤101中,当待扫描WEB站点希望网络侧对本地的安全漏洞进行扫描时,通过WAF,向网络安全设备发送扫描任务,要求网络安全设备对该WEB站点进行安全漏洞的扫描。
网络安全设备获取扫描任务的方式是多种的,例如由WAF将扫描任务发送给网络安全设备,或者通过人工下发的方式获取扫描任务,因此,网络安全设备接收扫描任务的方式在这里不做具体限制。
网络安全设备接收到的扫描任务中的地址信息可以是TOB站点向网络应用防火墙发起的扫描请求中携带的地址信息,也可以是WEB站点与网络应用防火墙进行信令交互时,网络应用防火墙确定的WEB站点的地址信息,例如TOB站点的IP地址信息、站点信息或者统一资源定位符(Uniform Resource Locator, URL)等。由于网络安全设备获取扫描任务的方式可能不同,因此,本实施例中也不限于其他形式确定的WEB站点的地址信息。
步骤102 网络安全设备根据所述地址信息与所述待扫描WEB站点建立连接,并对所述WEB站点的安全漏洞进行扫描,得到扫描结果。
在本步骤102中,网络安全设备根据接收到的扫描任务中包含的WEB站点的地址信息,与该地址信息对应的WEB站点建立连接,如HTTP (Hypertext Transfer Protocol,超文本传输协议)等网络连接。
网络安全设备在与所述TOB站点建立连接后,可对WEB站点进行安全漏洞扫描,得到扫描结果。
所述安全漏洞是指当前WEB站点在硬件、软件、网络协议的具体实现或者系统安全策略上存在的缺陷,或者是当前WEB站点组件、应用程序或者其他联机资源中无意留下的不受保护的入口点,可以使攻击者能够在未授权的情况下访问或者破坏系统。
所述扫描结果是指网络安全设备对当前TOB站点中存在的安全漏洞进行扫描后, 生成的扫描报表,其中包括
漏洞扫描时间,表示网络安全设备扫描出存在安全漏洞的时间;
漏洞扫描地址,表示TOB站点中安全漏洞发生的地址信息;
安全漏洞信息,表示在漏洞扫描地址下存在的安全漏洞的属性信息。
以SQL注入攻击为例生成的扫描报表中包括一条信息为2011-11_15、 15:30:20、http://www. AAA. com/BBB. html ? prodID = χ,y,z,其中 pordID 参数中包含特殊字符单引号,而WAF中安全策略规则中存在对特定参数进行特殊字符检测的规则,特定参数中未包含prodID,因此会出现SQL注入攻击的威胁即出现了 WEB站点中网页被篡改的安全漏洞。
步骤103 网络安全设备将扫描结果发送给网络应用防火墙。
在本步骤103的方案中,网络安全设备在完成对WEB站点的扫描并得到扫描结果后,可主动将扫描结果发送给WAF ;也可以由WAF对网络安全设备的扫描状态进行监测,当确定网络安全设备扫描结束后,WAF向网络安全设备请求获取扫描结果,则网络安全设备在生成扫描结果后将该扫描结果发送给WAF。
步骤104 网络应用防火墙根据接收到的扫描结果为所述WEB站点配置安全策略。
所述安全策略是指针对当前TOB站点存在的安全漏洞,进行相应的防护策略配置防护WEB站点当前存在的安全漏洞所带来的威胁,降低WEB站点受到的安全威胁。
在本步骤104的方案中,WAF需要根据接收到的扫描结果中记载的安全漏洞信息, 分析产生所述安全漏洞的原因,进而为所述WEB站点配置相应的安全策略。在SQL注入攻击举例中,WAF根据扫描结果,会重新配置相应的安全策略,将prodID参数添加至对特定参数进行特殊字符检测的规则中。
通过本发明实施例一的方案,由网络安全设备根据接收到的扫描任务,对TOB站点进行安全漏洞的扫描,并生成针对该WEB站点的扫描结果,以便于WAF可根据该扫描结果配置针对该WEB站点当前实际状态的安全策略,由于网络安全设备,可比较全面地对TOB站点的安全漏洞进行扫描,因此,通过本实施例一的方案,可全面扫描出WEB站点存在的安全漏洞,并进一步通过WAF对扫描结果进行安全策略的配置,可提高WEB站点的安全性。
实施例二
如图2所示,为本实施例二中一种网络安全防护方法的流程图,假设本实施例二中网络安全设备是WSP为例,本实施例二的方案具体包括以下步骤
步骤201 =WAF接收TOB站点发送的扫描请求。
步骤202 =WAF将所述TOB站点的地址信息和扫描任务信息携带在扫描任务中,并发送给WSP。
所述扫描任务信息包括扫描时间和扫描任务项。
所述扫描时间表示WSP对TOB站点进行扫描的起始时间,较优地,所述扫描时间还可以进一步包括需要对WEB站点进行扫描的周期,以便于WSP从该起始时间开始,周期性地对WEB站点进行扫描。
所述扫描任务项可具体包括全局唯一的扫描任务ID、待扫描TOB站点的域名、 WEB站点中需要进行扫描的磁盘空间标识以及用于扫描的插件信息等。
步骤203 =WSP在接收到WAF发送的扫描任务后,根据预置在WAF中的证书信息,对发送扫描请求的WAF进行认证;若认证通过,则执行步骤204,否则执行步骤202。
在本步骤203中,为了保障通信数据传输的机密性,因此引入了双端认证机制,具体地,本步骤203的执行方式如下
首先WSP在初始化时将SSL证书(包括密钥Key以及版本号Cert)预设在WAF 中,当接收到WAF发送的扫描请求后,为了确保接收到的数据的准确性,向WAF发送携带SSL 证书标识(如SSL证书版本号等)的消息;
然后WAF根据接收到的SSL证书标识查询出对应的SSL证书,并利用查询出的 SSL证书中的Key对该SSL证书中的Cert进行加密,并将加密结果返回给WSP ;
最后WSP根据本地存储的所述SSL证书标识对应的SSL证书标识中的Key对接收到的加密结果进行解密,并在判断解密后的Cert合法时,通过对该WAF的认证。
此外,除了上述的WSP对WAF的认证方式外,还可以使用Oauthor认证方式。
需要说明的是,所述WAF也可以在步骤202中对WSP进行上述认证后,再向WSP发送扫描任务。
步骤204 =WSP根据接收到的扫描任务信息判断该扫描任务是否为新任务,若是新任务,则执行步骤205,否则,执行步骤202。
具体地,WSP在接收到扫描任务后,识别出其中的扫描任务信息,并根据扫描任务信息中扫描任务ID这一项,来判断当前待执行的扫描任务是否为新任务。
步骤205 =WSP根据所述TOB站点的地址信息与所述WEB站点建立连接,并在所述扫描时间到达时,根据所述扫描任务项对所述WEB站点的安全漏洞进行扫描。
与步骤203类似地,在本步骤205中,WSP也可以与TOB站点之间进行双端认证, 即WSP根据步骤203的方案对TOB站点进行认证,同时TOB站点为了保障自身的安全也可以对WSP进行认证,在TOB站点对WSP认证通过后,允许WSP对TOB站点进行扫描。
具体地,TOB站点对WSP的认证方式如下
第一步WEB站点向WSP发送一个验证码和SSL证书标识;
第二步WSP利用接收到的SSL证书标识,查询出对应的SSL证书(包括Key以及 Cert);
第三步WSP根据验证码、查询出的SSL证书中的Key以及Cert进行加密运算,得到第一加密结果;
第四步WSP将第一加密结果发送给所述WEB站点;
第五步WEB站点根据验证码、本地存储的SSL证书中的Key以及Cert进行加密运算,得到第二加密结果;
第六步TOB站点将接收到的第一加密结果与计算得到的第二加密结果进行比较,若结果一致,则通过对WSP的认证,允许对其进行扫描;否则,不通过对WSP的认证,拒绝对其进行扫描,并将结果通知WAF。
此外,本实施例二中也不限于使用Oauthor认证方式。
步骤206 =WAF向WSP发送确认扫描结束消息,确定WSP当前扫描的状态。
在WSP对TOB站点进行扫描的过程中,WAF向WSP发送确认扫描结束消息后,若没有接收到WSP返回的响应消息,则表示WSP仍在对TOB站点进行扫描,当接收到WSP返回的响应消息,则表示WSP对TOB站点扫描结束。
步骤207 =WAF判断WSP是否已完成本次扫描任务,若已经完成,则执行步骤208 ; 否则,继续监控WSP的扫描状态,即执行步骤206。
需要说明的是,步骤206和步骤207是本实施方案的优选步骤,不是本方案的必选步骤。步骤206和步骤207根据WAF对WSP扫描过程的监控,可以及时的获取扫描结果列表,更及时的为WEB站点配置个性化的安全策略。
步骤208 =WSP完成对所述WEB站点的安全漏洞扫描,得到扫描结果。
在本步骤208中,WSP对扫描结果中的安全漏洞信息进行解析,提取出所述安全漏洞信息的特征码,并确定扫描到的安全漏洞可能导致的网络威胁后果。
步骤209 =WSP将扫描结果发送给WAF。
具体地,WSP将得到的扫描结果转化成XML和/或者HTML格式的扫描结果报表, 在该扫描结果报表中列出当前WEB站点存在的相关安全漏洞,其中,该扫描结果报表的内容包括扫描WEB站点的地址信息、扫描到的安全漏洞的属性信息、可能造成的安全威胁后果以及当前安全漏洞的表现形式等。
步骤210 =WAF根据接收到的扫描结果为所述WEB站点配置安全策略。
本步骤210的具体方案为
首先-MF可以将扫描结果压缩成XIP数据包并下载到本地为该WEB站点分配的域名文件夹中,并解压生成扫描结果列表反馈给WEB站点。
其次,WAF对所述安全漏洞信息进行解析,提取出所述安全漏洞信息的特征码,并查询本地规则库中是否存储了该特征码以及该特征码对应的安全策略,具体包括以下三种情形
第一种情形WAF在规则库中查找到该特征码,并且针对该特征码已经配置相应的安全策略,则可直接将本地规则库中已存储的安全策略作为为所述WEB站点配置的安全8策略。
若针对接收到的安全漏洞信息中的特征码只存储了一种对应的安全策略,也就是说该特征码与配置的安全策略之间是“一对一”的关系,WAF可以将确定的本地规则库中存储的特征码对应的安全策略作为为所述WEB站点配置的安全策略;若该特征码对应的安全策略有多种,也就是说该特征码与配置的安全策略之间是“一对多”的关系,WAF可以任意选择其中一种安全策略作为确定为所述WEB站点配置的安全策略。
较优地,WAF在确定特征码与配置的安全策略之间是“一对多”的关系时,可以查找本地规则库中生成该特征码与配置安全策略的时间,确定最近时间配置的该特征码对应的安全策略作为所述WEB站点配置的安全策略。
第二种情形WAF在本地规则库中查找到该特征码,但是针对该特征码没有配置相应的安全策略,此时WAF根据确定的特征码和防护规则,配置对应的安全策略,并将对应该特征码配置的安全策略存储在本地规则库中,且配置的所述安全策略作为为所述WEB站点配置的安全策略。
第三种情形WAF在本地规则库中未查找到该特征码,则将该特征码写入本地规则库中,且根据防护规则为该特征码配置对应的安全策略,并更新本地规则库,将该特征码与对应的安全策略存储在本地规则库中,以及将配置的所述安全策略作为为所述WEB站点配置的安全策略。
较优地,在本实施例中,WAF可在接收到TOB站点发送的扫描请求后,发起对WEB站点的认证请求(认证的方式同步骤203或者20 ,在认证通过后,对TOB站点进行扫描,并根据扫描结果为WEB站点配置相应的安全策略。
较优地,在WSP对TOB站点的扫描过程中,WAF也可以对该TOB站点进行扫描,实现对该TOB站点的并行扫描,当然,WAF也可以在WSP扫描之前或扫描完成后,再对该WEB站点进行扫描。
实施例三
如图3所示,为本实施例三的一种网络安全设备的结构示意图。该设备包括接收模块31、扫描模块32和发送模块33。其中,
接收模块31,用于接收扫描任务,所述扫描任务中包含待扫描TOB站点的地址信息;扫描模块32,用于根据接收模块31接收到的所述地址信息与所述待扫描WEB站点建立连接,并对所述WEB站点的安全漏洞进行扫描,得到扫描结果;发送模块33,用于将扫描模块32得到的扫描结果发送给网络应用防火墙,指示所述网络应用防火墙根据接收到的扫描结果为所述WEB站点配置安全策略。
具体地,所述扫描模块32具体用于在所述扫描任务信息包括扫描时间和扫描任务项时,当所述扫描时间到达后,根据所述扫描任务项对所述WEB站点的安全漏洞进行扫描。
较优地,该设备还包括认证模块34。其中,认证模块34,用于在对所述TOB站点的安全漏洞进行扫描之前,根据预置在WAF中的证书信息,对发送扫描任务的WAF进行认证,以及根据WEB站点本地存储的证书信息,对所述WEB站点进行认证。
实施例四
如图4所示,为本实施例四中一种网络安全防护系统的结构示意图。该系统包括网络安全设备41、网络应用防火墙42。其中,
网络安全设备41,用于接收扫描任务,并根据扫描任务中待扫描WEB站点的地址信息与所述WEB站点建立连接,对所述TOB站点的安全漏洞进行扫描,在得到扫描结果后, 将扫描结果发送给所述网络应用防火墙;网络应用防火墙42,用于接收网络安全设备41发送的扫描结果,并根据所述扫描结果为所述WEB站点配置安全策略。
具体地,所述网络应用防火墙42,具体用于在接收到的扫描结果中包含TOB站点内存在的安全漏洞信息时,对所述安全漏洞信息进行解析,提取出所述安全漏洞信息的特征码,并查询本地规则库中是否存储了该特征码以及该特征码对应的安全策略,若是,则将本地规则库中存储的特征码对应的安全策略作为为所述WEB站点配置的安全策略,否则, 为提取出的安全漏洞信息的特征码配置安全策略并存储在本地规则库中,以及将配置的所述安全策略作为所述WEB站点的安全策略。
所述网络安全设备41,还用于在在所述扫描任务信息包括扫描时间和扫描任务项时,当所述扫描时间到达后,根据所述扫描任务项对所述WEB站点的安全漏洞进行扫描。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种网络安全防护方法,其特征在于,包括接收扫描任务,所述扫描任务中包含待扫描WEB站点的地址信息;根据所述地址信息与所述待扫描WEB站点建立连接,并对所述WEB站点的安全漏洞进行扫描,得到扫描结果;将扫描结果发送给网络应用防火墙WAF,指示所述WAF根据接收到的扫描结果为所述 TOB站点配置安全策略。
2.如权利要求1所述的方法,其特征在于,所述扫描结果中包含WEB站点内存在的安全漏洞信息;WAF根据接收到的扫描结果为所述WEB站点配置安全策略,具体包括WAF对所述安全漏洞信息进行解析,提取出所述安全漏洞信息的特征码,并查询本地规则库中是否存储了该特征码以及该特征码对应的安全策略;若是,则WAF将本地规则库中存储的特征码对应的安全策略作为为所述WEB站点配置的安全策略;若否,则WAF为提取出的安全漏洞信息的特征码配置安全策略并存储在本地规则库中,以及将配置的所述安全策略作为为所述WEB站点配置的安全策略。
3.如权利要求1所述的方法,其特征在于,所述扫描任务中还包括扫描时间和扫描任务项;对所述服务器的安全漏洞进行扫描,具体包括在所述扫描时间到达时,根据所述扫描任务项对所述WEB站点的安全漏洞进行扫描。
4.如权利要求1所述的方法,其特征在于,对所述WEB站点的安全漏洞进行扫描之前, 所述方法还包括根据预置在WAF中的证书信息,对发送扫描请求的WAF进行认证,以及根据WEB站点本地存储的证书信息,对所述WEB站点进行认证。
5.一种网络安全设备,其特征在于,包括接收模块,用于接收扫描任务,所述扫描任务中包含待扫描WEB站点的地址信息;扫描模块,用于根据所述地址信息与所述待扫描WEB站点建立连接,并对所述TOB站点的安全漏洞进行扫描,得到扫描结果;发送模块,用于将扫描结果发送给网络应用防火墙WAF,指示所述WAF根据接收到的扫描结果为所述WEB站点配置安全策略。
6.如权利要求5所述的设备,其特征在于,所述扫描模块,具体用于在所述扫描任务信息包括扫描时间和扫描任务项时,当所述扫描时间到达后,根据所述扫描任务项对所述WEB站点的安全漏洞进行扫描。
7.如权利要求5所述的设备,其特征在于,该设备还包括认证模块,用于在对所述WEB站点的安全漏洞进行扫描之前,根据预置在WAF中的证书信息,对发送扫描任务的WAF进行认证,以及根据TOB站点本地存储的证书信息,对所述TOB 站点进行认证。
8.—种网络安全防护系统,其特征在于,该系统包括网络安全设备,用于接收扫描任务,并根据扫描任务中待扫描WEB站点的地址信息与所述WEB站点建立连接,对所述TOB站点的安全漏洞进行扫描,在得到扫描结果后,将扫描结果发送给网络应用防火墙WAF ;网络应用防火墙,用于接收网络安全设备发送的扫描结果,并根据所述扫描结果为所述冊B站点配置安全策略。
9.如权利要求8所述的系统,其特征在于,所述网络应用防火墙,具体用于在接收到的扫描结果中包含WEB站点内存在的安全漏洞信息时,对所述安全漏洞信息进行解析,提取出所述安全漏洞信息的特征码,并查询本地规则库中是否存储了该特征码以及该特征码对应的安全策略,若是,则将本地规则库中存储的特征码对应的安全策略作为为所述WEB站点配置的安全策略,否则,为提取出的安全漏洞信息的特征码配置安全策略并存储在本地规则库中,以及将配置的所述安全策略作为所述TOB站点的安全策略。
10.如权利要求8所述的系统,其特征在于,所述网络安全设备,还用于在所述扫描任务信息包括扫描时间和扫描任务项时,当所述扫描时间到达后,根据所述扫描任务项对所述WEB站点的安全漏洞进行扫描。
全文摘要
本发明公开了一种网络安全防护方法、设备和系统,主要内容包括网络安全设备根据接收到的扫描任务,对该扫描任务指定的WEB站点进行安全漏洞的扫描,得到扫描结果后,将扫描结果发送给网络应用防火墙,以便于网络应用防火墙根据接收到的扫描结果为WEB站点配置个性化的安全策略,这样就克服无法对WEB站点进行全面个性化的安全配置的问题。
文档编号H04L29/06GK102523218SQ20111042480
公开日2012年6月27日 申请日期2011年12月16日 优先权日2011年12月16日
发明者周蓉, 宋志明, 李从宇, 欧怀谷, 秦波, 黄明峰 申请人:北京神州绿盟信息安全科技股份有限公司