一种Web应用防火墙规则更新方法、装置及系统与流程

本发明涉及互联网技术领域，特别涉及一种web应用防火墙规则更新方法、装置及系统。

背景技术：

目前，web应用防火墙技术主要通过web应用防护系统(webapplicationfirewall，waf)实现，waf代表了一类新兴的信息安全技术，用以解决web应用的安全问题。

现有技术中，运行于web服务器中的waf主要是利用预先制定好的防火墙规则对外部请求进行过滤来实现防御保护，预先制定好的防火墙规则大多都是以文件的形式存放在web服务器本地。当有防火墙规则更新时，需要人为把新防火墙规则拷贝到web服务器本地，进而实现web服务器本地存储的防火墙规则更新。虽然应用上述方式能够成功更新防火墙规则，但是人为拷贝新防火墙规则通常具有滞后性，也就是上述防火墙规则更新方式的实时性差，尤其是当今攻击手段具有多样性、多变性特点的情况下，应用上述方式进行防火墙规则更新实时性差这一缺点更加突出。

技术实现要素：

本发明实施例公开了一种web应用防火墙规则更新方法、装置及系统，以提高防火墙规则更新的实时性。

为达到上述目的，本发明实施例公开了一种web应用防火墙规则更新方法，包括，应用于web应用防御系统中的web服务器，所述web应用防御系统包括：web服务器和规则管理服务器，所述规则管理服务器，用于存储各个业务对应的防火墙规则；所述方法包括：

向所述规则管理服务器发送针对目标业务的规则同步请求，所述规则同步请求中包括：目标版本号，以使所述规则管理服务器验证所述目标版本号与最新版本号是否一致，其中，所述目标版本号为：第一防火墙规则的版本号，所述第一防火墙规则为：所述web服务器本地存储的、所述目标业务对应的防火墙规则，所述最新版本号为：第二防火墙规则的版本号，所述第二防火墙规则为：所述规则管理服务器本地硬盘中存储的、所述目标业务对应的最新防火墙规则；

接收所述规则管理服务器在所述目标版本号与所述最新版本号不一致时发送的所述第二防火墙规则；

将所述第一防火墙规则更新为所述第二防火墙规则。

可选地，所述将所述第一防火墙规则更新为所述第二防火墙规则包括：

通过写时拷贝机制，将所述第一防火墙规则更新为所述第二防火墙规则。

可选地，向所述规则管理服务器发送针对目标业务的规则同步请求之前，所述方法还包括：

从所述规则管理服务器获取所述第一防火墙规则，并在本地存储所述第一防火墙规则。

为达到上述目的，本发明实施例还公开了一种web应用防火墙规则更新方法，应用于web应用防御系统中的规则管理服务器，所述web应用防御系统包括web服务器和规则管理服务器，所述规则管理服务器，用于存储各个业务对应的防火墙规则；

所述方法包括：

接收所述web服务器发送的针对目标业务的规则同步请求，其中，所述规则同步请求携带：目标版本号，所述目标版本号为：第一防火墙规则的版本号，所述第一防火墙规则为：所述web服务器本地存储的、所述目标业务对应的防火墙规则；

验证所述目标版本号是否与最新版本号一致，其中，所述最新版本号为：第二防火墙规则的版本号，所述第二防火墙规则为：所述规则管理服务器本地硬盘存储的、所述目标业务对应的最新防火墙规则；

如果不一致，将所述第二防火墙规则发送至所述web服务器，以使得所述web服务器将所述第一防火墙规则更新为所述第二防火墙规则。

为达到上述目的，本发明实施例还公开了一种web应用防火墙规则更新装置，应用于web应用防御系统中的web服务器，所述web应用防御系统包括：web服务器和规则管理服务器，所述规则管理服务器，用于存储各个业务对应的防火墙规则；

所述装置包括：

发送请求模块，用于向所述规则管理服务器发送针对目标业务的规则同步请求，所述规则同步请求中包括：目标版本号，以使所述规则管理服务器验证所述目标版本号与最新版本号是否一致，其中，所述目标版本号为：第一防火墙规则的版本号，所述第一防火墙规则为：所述web服务器本地存储的、所述目标业务对应的防火墙规则，所述最新版本号为：第二防火墙规则的版本号，所述第二防火墙规则为：所述规则管理服务器本地硬盘中存储的、所述目标业务对应的最新防火墙规则；

接收规则模块，用于接收所述规则管理服务器在所述目标版本号与所述最新版本号不一致时发送的所述第二防火墙规则；

更新规则模块，用于将所述第一防火墙规则更新为所述第二防火墙规则。

可选地，所述更新规则模块具体用于：

通过写时拷贝机制，将所述第一防火墙规则更新为所述第二防火墙规则。

可选地，所述装置还包括：

获取规则模块，用于从所述规则管理服务器获取所述第一防火墙规则，并在本地存储所述第一防火墙规则。

为达到上述目的，本发明实施例还公开了一种web应用防火墙规则更新装置，应用于web应用防御系统中的规则管理服务器，所述web应用防御系统包括web服务器和规则管理服务器，所述规则管理服务器，用于存储各个业务对应的防火墙规则；

所述装置包括：

接收请求模块，用于接收所述web服务器发送的针对目标业务的规则同步请求，其中，所述规则同步请求携带：目标版本号，所述目标版本号为：第一防火墙规则的版本号，所述第一防火墙规则为：所述web服务器本地存储的、所述目标业务对应的防火墙规则；

验证规则模块，用于验证所述目标版本号是否与最新版本号一致，如果不一致，触发发送规则模块，其中，所述最新版本号为：第二防火墙规则的版本号，所述第二防火墙规则为：所述规则管理服务器本地硬盘存储的、所述目标业务对应的最新防火墙规则；

所述发送规则模块，用于将所述第二防火墙规则发送至所述web服务器，以使得所述web服务器将所述第一防火墙规则更新为所述第二防火墙规则。

为达到上述目的，本发明实施例还公开了一种web应用防火墙规则更新系统，包括web服务器和规则管理服务器；

所述规则管理服务器，用于存储各个业务对应的防火墙规则；

所述web服务器，用于向所述规则管理服务器发送针对目标业务的规则同步请求，所述规则同步请求中包括：目标版本号，所述目标版本号为：第一防火墙规则的版本号，所述第一防火墙规则为：所述web服务器本地存储的、所述目标业务对应的防火墙规则；

所述规则管理服务器，用于接收所述规则同步请求；验证所述规则请求中的目标版本号是否与最新版本号一致，其中，所述最新版本号为：第二防火墙规则的版本号，所述第二防火墙规则为：所述规则管理服务器本地硬盘存储的、所述目标业务对应的最新防火墙规则；如果不一致，将所述第二防火墙规则发送至所述web服务器；

所述web服务器，用于接收所述规则管理服务器发送的所述第二防火墙规则；将所述第一防火墙规则更新为所述第二防火墙规则。

可选地，所述web服务器具体用于：

通过写时拷贝机制，将所述第一防火墙规则更新为所述第二防火墙规则。

可选地，所述web服务器向所述规则管理服务器发送规则同步请求之前，所述web服务器还用于：

从所述规则管理服务器获取所述第一防火墙规则，并在本地存储所述第一防火墙规则。

本发明实施例公开了一种web应用防火墙规则更新方法、装置及系统，在本发明实施例中，首先，web服务器向规则管理服务器发送针对目标业务的规则同步请求，规则同步请求中包括：目标版本号；然后，规则管理服务器验证目标版本号与最新版本号是否一致，其中，目标版本号为：第一防火墙规则的版本号，第一防火墙规则为：web服务器本地存储的、目标业务对应的防火墙规则，最新版本号为：第二防火墙规则的版本号，第二防火墙规则为：规则管理服务器本地硬盘中存储的、目标业务对应的最新防火墙规则；如果不一致，则发送第二防火墙规则给web服务器；然后，web服务器接收规则管理服务器发送的第二防火墙规则；并将第一防火墙规则更新为第二防火墙规则。可见，与现有技术相比，应用本发明实施例提供的技术方案更新防火墙规则，无需人为拷贝新防火墙规则便可实现防火墙规则的更新，进而避免了人为拷贝防火墙规则带来的滞后性，实时性较强。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施所提供的一种web应用防火墙规则更新方法的第一种流程图；

图2为本发明实施所提供的一种web应用防火墙规则更新方法的第二种流程图；

图3为本发明实施所提供的一种web应用防火墙规则更新装置的第一种结构示意图；

图4为本发明实施所提供的一种web应用防火墙规则更新装置的第二种结构示意图；

图5为本发明实施所提供的一种web应用防火墙规则更新系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例中，提供一种web应用防火墙规则更新方法，通过该方法，无需人为拷贝新防火墙规则便可实现防火墙规则的更新，进而避免了人为拷贝防火墙规则带来的滞后性，实时性较强。

在该方法中，可以通过web服务器和规则管理服务器来完成防火墙规则的更新。web服务器和规则管理服务器之间可以通过超文本传输协议(hypertexttransferprotocol，http)协议进行通信。一个规则管理服务器可以与一个web服务器通信，也可以与多个web服务器通信。其中，规则管理服务器中存储有各个业务对应的防火墙规则，包括各业务对应的最新防火墙规则。

具体的，首先，web服务器向规则管理服务器发送针对目标业务的规则同步请求，例如，web服务器中可以设置有定时任务模块，用于定时的向规则管理服务器发送针对目标业务的规则同步请求，例如，每隔10分钟向规则管理服务器发送一次规则同步请求。其中，规则同步请求中包括：目标版本号，目标版本号为：web服务器本地(例如本地硬盘或本地内存)存储的、目标业务对应的防火墙规则的版本号，为便于描述，将web服务器本地(例如本地硬盘或本地内存)存储的、目标业务对应的防火墙规则定义为第一防火墙规则。

之后，规则管理服务器就可以接收到规则同步请求，并验证规则同步请求中的目标版本号和最新版本号是否一致，其中，最新版本号为规则管理服务器本地硬盘中存储的、目标业务对应的最新防火墙规则的版本号，为便于描述，将规则管理服务器本地硬盘中存储的、目标业务对应的最新防火墙规则定义为第二防火墙规则。

接下来，当规则管理服务器验证目标版本号和最新版本号不一致时，会将本地硬盘存储的第二防火墙规则发送给web服务器。

最后，web服务器接收规则管理服务器发送的第二防火墙规则，并将本地存储的第一防火墙规则更新为第二防火墙规则。

可见，本发明实施例中，web服务器可以向规则管理服务器发送针对目标业务的规则同步请求。然后规则管理服务器对规则同步请求中的目标版本号进行验证，当目标版本号与最新版本号不一致时，将第二防火墙规则发送给web服务器。接下来，web服务器就可以接受第二防火墙规则，并把本地存储的第一防火墙规则更新为第二防火墙规则。这样的话，当有业务对应的防火墙规则需要更新时，无需人为拷贝新防火墙规则便可实现防火墙规则的更新。

下面从web服务器和规则管理服务器这两个角度对本发明实施例提供的技术方案进行介绍。

实施例一：

参照图1，图1为本发明实施例提供的一种web应用防火墙规则更新方法的第一种示意图，该方法应用于web应用防御系统中的web服务器，web应用防御系统包括：web服务器和规则管理服务器，其中，规则管理服务器，用于存储各个业务对应的防火墙规则；如图1所示，该方法包括以下步骤：

s110，向所述规则管理服务器发送针对目标业务的规则同步请求，所述规则同步请求中包括：目标版本号，以使所述规则管理服务器验证所述目标版本号与最新版本号是否一致，其中，所述目标版本号为：第一防火墙规则的版本号，所述第一防火墙规则为：所述web服务器本地存储的、所述目标业务对应的防火墙规则，所述最新版本号为：第二防火墙规则的版本号，所述第二防火墙规则为：所述规则管理服务器本地硬盘中存储的、所述目标业务对应的最新防火墙规则。

其中，目标业务可以是一个业务或多个业务。例如web服务器可以向规则管理服务器发送业务1的规则同步请求，或者业务1和业务2的规则同步请求或者更多个业务的规则同步请求。

可选地，在web服务器中，还可以设置有定时任务模块，用于定时的向规则管理服务器发送针对目标业务的规则同步请求，例如，每隔10分钟、1小时、24小时向规则管理服务器发送一次规则同步请求。

具体地，规则同步请求中包括目标版本号，以使规则管理服务器验证目标版本号与最新版本号是否一致。其中，目标版本号为：第一防火墙规则的版本号，第一防火墙规则为：web服务器本地存储的、目标业务对应的防火墙规则，最新版本号为：第二防火墙规则的版本号，第二防火墙规则为：规则管理服务器本地硬盘中存储的、目标业务对应的最新防火墙规则。

s120，接收所述规则管理服务器在所述目标版本号与所述最新版本号不一致时发送的所述第二防火墙规则。

当规则管理服务器验证目标版本号和最新版本号不一致时，会发送第二防火墙规则给web服务器，之后，web服务器接收规则管理服务器发送的所述第二防火墙规则。

s130，将所述第一防火墙规则更新为所述第二防火墙规则。

web服务器接收到规则管理服务器发送的所述第二防火墙规则后，将本地存储的第一防火墙规则更新为第二防火墙规则，即将本地存储的目标业务对应的防火墙规则更新为规则管理服务器发送的目标业务对应的最新防火墙规则。

可选地，web服务器可以通过写时拷贝(copyonwrite，cow)机制，将第一防火墙规则更新为第二防火墙规则。具体地，在接收到第二防火墙规则之后，先将第一防火墙规则进行拷贝，然后，根据接收到的第二防火墙规则，对第一防火墙规则的拷贝版进行更改，以将第一防火墙规则的拷贝版更改为第二防火墙规则。将第一防火墙规则的拷贝版更改为第二防火墙规则完成后，将第一防火墙规则的引用指向第二防火墙规则。无需重启web服务器便可以启用第二防火墙规则，实现了第一防火墙规则到第二防火墙规则的平稳过渡。保证在防火墙规则更新的过程中，目标业务不会中断。

在本实施例的另一种实现方式中，web服务器向规则管理服务器发送针对目标业务的规则同步请求之前，该方法还可以包括：

从规则管理服务器获取第一防火墙规则，并在本地存储第一防火墙规则。

web服务器可以通过http协议，向规则管理服务器获取第一防火墙规则，并将获取的第一防火墙规则存储在本地。web服务器从规则管理服务器获取第一防火墙规则可以按照key/value的形式存储在本地。web服务器本地可以是本地硬盘或本地内存，优选地，为了提高业务运行速度，可以将第一获取的第一防火墙规则存储在本地内存中。

应用本实施例，无需人为地将防火墙规则拷贝到web服务器，避免的人为拷贝带来的滞后性，可实时地对防火墙规则进行更新。

实施例二：

参照图2，图2为本发明实施例提供的一种web应用防火墙规则更新方法的第二种示意图，该方法应用于web应用防御系统中的规则管理服务器，web应用防御系统包括：web服务器和规则管理服务器，其中，规则管理服务器，用于存储各个业务对应的防火墙规则；如图2所示，该方法包括以下步骤：

s210，接收所述web服务器发送的针对目标业务的规则同步请求，其中，所述规则同步请求携带：目标版本号，所述目标版本号为：第一防火墙规则的版本号，所述第一防火墙规则为：所述web服务器本地存储的、所述目标业务对应的防火墙规则。

s220，验证所述目标版本号是否与最新版本号一致，其中，所述最新版本号为：第二防火墙规则的版本号，所述第二防火墙规则为：所述规则管理服务器本地硬盘存储的、所述目标业务对应的最新防火墙规则。

s230，将所述第二防火墙规则发送至所述web服务器，以使得所述web服务器将所述第一防火墙规则更新为所述第二防火墙规则。

与现有技术相比，应用本发明实施例提供的技术方案更新防火墙规则，无需人为拷贝新防火墙规则便可实现防火墙规则的更新，进而避免了人为拷贝防火墙规则带来的滞后性，实时性较强。

需要说明的是，该实施例二与实施例一相比，仅仅是在描述角度方面有所不同，相关的具体实现细节是相同或者相应的，因此，可以参照实施例一中的介绍，这里不再赘述。

与本发明实施例一提供的web应用防火墙规则更新方法相对应，本发明实施例还提供了一种web应用防火墙规则更新装置，该装置应用于web应用防御系统中的web服务器，web应用防御系统包括：web服务器和规则管理服务器，规则管理服务器，用于存储各个业务对应的防火墙规则；请参见图3，图3为本发明实施例所提供的一种web应用防火墙规则更新装置的第一种结构示意图，如图3所示，该装置包括：

发送请求模块310，用于向规则管理服务器发送针对目标业务的规则同步请求，规则同步请求中包括：目标版本号，以使规则管理服务器验证目标版本号与最新版本号是否一致，其中，目标版本号为：第一防火墙规则的版本号，第一防火墙规则为：web服务器本地存储的、目标业务对应的防火墙规则，最新版本号为：第二防火墙规则的版本号，第二防火墙规则为：规则管理服务器本地硬盘中存储的、目标业务对应的最新防火墙规则；

接收规则模块320，用于接收规则管理服务器在目标版本号与最新版本号不一致时发送的第二防火墙规则；

更新规则模块330，用于将第一防火墙规则更新为第二防火墙规则。

具体地，更新规则模块330具体用于：

通过写时拷贝机制，将第一防火墙规则更新为第二防火墙规则。

具体实现时，该装置还可以包括：

获取规则模块300(图3中未示出)，用于从规则管理服务器获取第一防火墙规则，并在本地存储第一防火墙规则。

与现有技术相比，应用本发明实施例提供的技术方案更新防火墙规则，无需人为拷贝新防火墙规则便可实现防火墙规则的更新，进而避免了人为拷贝防火墙规则带来的滞后性，实时性较强。

与本发明实施例二提供的web应用防火墙规则更新方法相对应，本发明实施例还提供了一种web应用防火墙规则更新装置，该装置应用于web应用防御系统中的规则管理服务器，web应用防御系统包括web服务器和规则管理服务器，规则管理服务器，用于存储各个业务对应的防火墙规则；请参见图4，图4为本发明实施例所提供的一种web应用防火墙规则更新装置的第二种结构示意图，如图4所示，该装置包括：

接收请求模块410，用于接收web服务器发送的针对目标业务的规则同步请求，其中，规则同步请求携带：目标版本号，目标版本号为：第一防火墙规则的版本号，第一防火墙规则为：web服务器本地存储的、目标业务对应的防火墙规则；

验证规则模块420，用于验证目标版本号是否与最新版本号一致，如果不一致，触发发送规则模块430，其中，最新版本号为：第二防火墙规则的版本号，第二防火墙规则为：规则管理服务器本地硬盘存储的、目标业务对应的最新防火墙规则；

发送规则模块430，用于将第二防火墙规则发送至web服务器，以使得web服务器将第一防火墙规则更新为第二防火墙规则。

与现有技术相比，应用本发明实施例提供的技术方案更新防火墙规则，无需人为拷贝新防火墙规则便可实现防火墙规则的更新，进而避免了人为拷贝防火墙规则带来的滞后性，实时性较强。

本发明实施例还提供了一种web应用防火墙规则更新系统，请参见图5，该系统包括web服务器510和规则管理服务器520；

规则管理服务器520，用于存储各个业务对应的防火墙规则；

web服务器510，用于向规则管理服务器520发送针对目标业务的规则同步请求，规则同步请求中包括：目标版本号，目标版本号为：第一防火墙规则的版本号，第一防火墙规则为：web服务器510本地存储的、目标业务对应的防火墙规则；

规则管理服务器520，用于接收规则同步请求；验证规则请求中的目标版本号是否与最新版本号一致，其中，最新版本号为：第二防火墙规则的版本号，第二防火墙规则为：规则管理服务器520本地硬盘存储的、目标业务对应的最新防火墙规则；如果不一致，将第二防火墙规则发送至web服务器510；

web服务器520，用于接收规则管理服务器发送的第二防火墙规则；将第一防火墙规则更新为第二防火墙规则。

具体实现中，web服务器510具体用于：

通过写时拷贝机制，将第一防火墙规则更新为第二防火墙规则。

具体实现中，web服务器510向规则管理服务器520发送规则同步请求之前，web服务器510还用于：

从规则管理服务器520获取第一防火墙规则，并在本地存储第一防火墙规则。

与现有技术相比，应用本发明实施例提供的技术方案更新防火墙规则，无需人为拷贝新防火墙规则便可实现防火墙规则的更新，进而避免了人为拷贝防火墙规则带来的滞后性，实时性较强。

对于系统和装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机可读取存储介质中，这里所称得的存储介质，如：rom/ram、磁碟、光盘等。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。