有效防黑客入侵的Web防火墙的制作方法

本发明属于防火墙技术领域，特别是涉及有效防黑客入侵的web防火墙。

背景技术：

随着科学技术和社会的发展，互联网已经在生产生活中扮演着越来越重要的角色，其中web的应用更是具有广泛的应用，基于coldfusion的web应用更是成为军事、政府和大型企事业单位的首选，但是web应用存在很多漏洞，易遭受黑客的攻击，导致系统瘫痪，因此针对以上问题，提供一种有效防黑客入侵的web防火墙具有重要的意义。

技术实现要素：

本发明的目的在于提供有效防黑客入侵的web防火墙，通过在coldfusion服务器中设置过威胁检测子系统、配置子系统、日志子系统、交互子系统，威胁检测子系统包括滤模块和威胁处理模块，过滤模块中设置有用于过滤各种攻击的过滤器，威胁处理模块中设置有威胁等级评估模块和威胁处理模块，解决了现有的web应用系统易遭受网络和黑客攻击不能够有效防御的问题。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明的有效防黑客入侵的web防火墙，该防火墙为web应用防火墙，所述web应用防火墙设置于服务器主机中的coldfusion服务器中，所述服务器主机中同时搭载有web服务器，所述服务器主机通过internet与各用户端相连，所述web服务器与coldfusion服务器中的web应用防火墙和web应用服务器依次相连，其特征在于：

所述web应用防火墙包括威胁检测子系统、日志审计子系统、配置子系统、交互子系统；

所述威胁检测子系统包括过滤模块和威胁处理模块,所述web服务器发布web请求经由coldfusion服务器被路由到所述过滤模块，所述数据过滤模块对web请求进行一些列的安全过滤，并对检测到的威胁的请求进行威胁等级评估，最后根据评估值域设定阈值的对比，并执行拒绝请求、放行或者记录日志的操作；

所述日志审计子系统包括数据库日志器和邮件通知器，所述数据库日志器记录所有威胁值高于日志阈值的web请求信息，通过图表和数据清晰的反映出web应用的访问安全状态；所述邮件通知器提供web应用服务器受到攻击时即时通知的功能，并通过coldfusion服务器的日志文件查看日志信息；

所述配置子系统包括过滤模块配置、日志模块配置、威胁处理模块配置、系统管理模块配置；防火墙管理员通过所述配置子系统对防火墙中各种信息进行自定义；所述过滤模块配置用于设置过滤器的过滤顺序、设置ip地址黑名单以及不同过滤器的启用和禁用；所述日志模块配置用于开启或关闭日志功能，以及设置邮件通知的启用和关闭；所述威胁处理模块配置用于提供对日志威胁阈值和拒绝请求威胁阈值的配置功能；所述系统管理模块配置用于提供对防火墙本身的维护功能，并重置防火墙，配置信息被修改后，必须重新初始化后，所述web应用防火墙才能读取新的配置信息；

所述交互子系统包括交互模块；所述交互子系统用于对web应用防火墙进行必要的设置与管理，所述交互子系统通过统计图表和统计表格的形式将重要信息呈现给用户，包括防火墙日志统计功能和详细日志信息查看功能，用户通过图表和表格直观的了解web应用服务器的安全状态。

进一步地，所述过滤模块内设置有ip地址过滤器、sql注入过滤器、跨站脚本过滤器、id过滤器、文件上传过滤器、字典攻击过滤器和点点杠、crlf注入过滤器；

所述ip地址过滤器、sql注入过滤器、跨站脚本过滤器、id过滤器、文件上传过滤器、字典攻击过滤器和点点杠、crlf注入过滤器分别针对sql注入攻击、跨站脚本攻击、字典攻击、路径遍历攻击进行防御。

进一步地，所述胁处理模块包括维系等级评估模块和威胁处理模块，所述胁处理模块用于及时阻断外部攻击，记录审计日志，并自动将多次发送攻击请求的ip地址加入黑名单，有效防治web攻击事件的发生。

本发明具有以下有益效果：

本发明通过在coldfusion服务器中设置过威胁检测子系统、配置子系统、日志子系统、交互子系统，威胁检测子系统包括滤模块和威胁处理模块，过滤模块中设置有用于过滤各种攻击的过滤器，威胁处理模块中设置有威胁等级评估模块和威胁处理模块，具有能够有效防御sql注入攻击、跨站脚本攻击、恶意文件上传攻击、暴力破解攻击和路径遍历攻击，拥有强大日志系统，能够详细记录web请求的相关信息，防御能起全面的优点。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的有效防黑客入侵的web防火墙的框架示意图；

图2本发明的有效防黑客入侵的web防火墙的整体架构示意图；

图3本发明的防火墙与用户端web服务器相连接的整体结构示意图；

图4本发明的防火墙的整体工作流程图；

图5本发明的过滤器处理的方法的步骤示意图；

图6本发明的ip地址过滤器流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1-3所示，本发明的有效防黑客入侵的web防火墙，该防火墙为web应用防火墙，web应用防火墙设置于服务器主机中的coldfusion服务器中，服务器主机中同时搭载有web服务器，服务器主机通过internet与各用户端相连，web服务器与coldfusion服务器中的web应用防火墙和web应用服务器依次相连，web应用防火墙包括威胁检测子系统、日志审计子系统、配置子系统、交互子系统；威胁检测子系统包括过滤模块和威胁处理模块,web服务器发布web请求经由coldfusion服务器被路由到过滤模块，数据过滤模块对web请求进行一些列的安全过滤，并对检测到的威胁的请求进行威胁等级评估，最后根据评估值域设定阈值的对比，并执行拒绝请求、放行或者记录日志的操作；

日志审计子系统包括数据库日志器和邮件通知器，数据库日志器记录所有威胁值高于日志阈值的web请求信息，通过图表和数据清晰的反映出web应用的访问安全状态；邮件通知器提供web应用服务器受到攻击时即时通知的功能，并通过coldfusion服务器的日志文件查看日志信息；

配置子系统包括过滤模块配置、日志模块配置、威胁处理模块配置、系统管理模块配置；防火墙管理员通过所述配置子系统对防火墙中各种信息进行自定义；过滤模块配置用于设置过滤器的过滤顺序、设置ip地址黑名单以及不同过滤器的启用和禁用；日志模块配置用于开启或关闭日志功能，以及设置邮件通知的启用和关闭；威胁处理模块配置用于提供对日志威胁阈值和拒绝请求威胁阈值的配置功能；系统管理模块配置用于提供对防火墙本身的维护功能，并重置防火墙，配置信息被修改后，必须重新初始化后，web应用防火墙才能读取新的配置信息；

交互子系统包括交互模块；交互子系统用于对web应用防火墙进行必要的设置与管理，交互子系统通过统计图表和统计表格的形式将重要信息呈现给用户，包括防火墙日志统计功能和详细日志信息查看功能，用户通过图表和表格直观的了解web应用服务器的安全状态。

其中，过滤模块内设置有ip地址过滤器、sql注入过滤器、跨站脚本过滤器、id过滤器、文件上传过滤器、字典攻击过滤器和点点杠、crlf注入过滤器；

ip地址过滤器、sql注入过滤器、跨站脚本过滤器、id过滤器、文件上传过滤器、字典攻击过滤器和点点杠、crlf注入过滤器分别针对sql注入攻击、跨站脚本攻击、字典攻击、路径遍历攻击进行防御。

其中，胁处理模块包括维系等级评估模块和威胁处理模块，胁处理模块用于及时阻断外部攻击，记录审计日志，并自动将多次发送攻击请求的ip地址加入黑名单，有效防治web攻击事件的发生。

如图4所示，防火墙的工作原理：首先初始化防火墙，防御请求被传递至过滤模块中，在过滤模块中，请求依次通过ip过滤器、sql注入过滤器、跨站脚本过滤器、id过滤器、文件上传过滤器、字典攻击过滤器和点点杠、crlf过滤器，在这些过滤器中，请求将和典型攻击方式的规则一一匹配，并产生检测结果，检测结果被传递至威胁处理模块，威胁处理模块首先对请求的威胁等级进行评估，给出该请求的威胁等级；若威胁等级大于或等于日志等级、则对本次访问的详细信息进行日志记录，记录日志后，威胁处理模块继续将威胁等级与设定的阻塞等级进行比较；如果威胁等级小于设定的日志等级，则不记录日记，威胁处理模块继续将威胁等级与设定的阻塞等级进行比较；如果威胁等级大于或等于设定的阻塞等级，则对此ip地址的阻塞次数进行记录，然后返回http403错误；如果威胁等级小于设定的阻塞等级，将继续将威胁等级与防火墙的过滤等级进行比较；如果威胁等级大于或等于过滤等级，则对关键字进行过滤后正常访问所请求的web应用；如果威胁等级小于过滤等级，则不对web请求进行任何处理，直接转发给所请求的web应用服务器；

如图5所示，过滤模块的工作方法：当请求到达过滤模块中的各过滤器时，过滤器首先检测自身是否是开启的，如果过滤器未开启，则直接将请求向下传递，如果过滤器开启则开始检查web请求是否触发过滤器中的逻辑规则，如果该请求触发了过滤器中的安全规则，则要对触发的条件进行威胁等级判断，得到威胁等级之后将威胁等级传递至威胁处理器中，如果没有出发过滤规则，则直接传递至威胁处理器，威胁处理器对于不含威胁等级的请求则是直接放过；

如图6所示，ip地址过滤器的工作方法：web请求传入过滤器后，首先判断该ip地址是否在黑名单中，若是，则移交威胁处理模块，若否，则判断该ip地址在24小时内是否阻塞过，若曾今被拒绝，继续判断被拒绝的次数是否大于或等于5，如果是则将其加入黑名单中，然后移交至威胁处理模块，如果24小时内没有被阻塞过或者阻塞次数小于5，请求将会直接移交至威胁处理模块；如果web请求没有触犯ip地址过滤器的过滤规则，威胁处理模块将其直接移交至下一个过滤器进行过滤。

有益效果：

本发明通过在coldfusion服务器中设置过威胁检测子系统、配置子系统、日志子系统、交互子系统，威胁检测子系统包括滤模块和威胁处理模块，过滤模块中设置有用于过滤各种攻击的过滤器，威胁处理模块中设置有威胁等级评估模块和威胁处理模块，具有能够有效防御sql注入攻击、跨站脚本攻击、恶意文件上传攻击、暴力破解攻击和路径遍历攻击，拥有强大日志系统，能够详细记录web请求的相关信息，防御能起全面的优点。

在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。