基于WAF的流量控制方法、装置及系统与流程

本发明涉及数据安全技术领域，特别是涉及一种基于WAF的流量控制方法、装置及系统。

背景技术：

WAF(Web Application Firewall，Web应用防护防火墙)代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统安全设备无法解决的Web应用安全问题。网站云安全管控平台可以对网站进行安全云防护，其中包括Web入侵防护、DDoS(Distributed Denial of service，分布式拒绝服务)防护、CC(Challenge Collapsar)防护、DNS(Domain Name System，域名系统)防护等，能够确保网站在保护下不被入侵和攻击瘫痪。

在现有技术中，由于网站云安全管控平台是云服务，对于企业来说是不可见的，而WAF是放置在企业内部的硬件设备，对企业来说是可见的，所以考虑到数据的安全性，企业往往优先考虑使用WAF进行安全防护。然而，当网站遭受攻击时，往往会产生大量的数据请求，由于WAF的负载能力有限，所以若存在大量的数据请求需要WAF过滤，则很可能会使得WAF瘫痪。为了防止WAF瘫痪，现有的实现方式是让运营商增加带宽，从而尽量使得WAF过滤所有的数据请求。但是，让运营商增加带宽，不仅操作繁琐，而且操作效率也十分低下，从而无法有效地防止WAF瘫痪问题。

技术实现要素：

有鉴于此，本发明提供的基于WAF的流量控制方法、装置及系统，能够在实现数据安全过滤的情况下，有效防止WAF因数据流量过大而瘫痪。

本发明的目的是采用以下技术方案来实现的：

第一方面，本发明提供了一种基于WAF的流量控制方法，所述方法应用于WAF侧，所述方法包括：

在使用Web应用防火墙WAF过滤客户端发送的数据流量的过程中，根据云开启触发条件，生成云开启指令，所述云开启指令中携带有流量牵引策略；

根据所述云开启指令，通过调用内嵌的网站云安全管控平台的管理界面的接口，开启所述网站云安全管控平台；

将所述流量牵引策略发送给域名解析服务器，以便所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

第二方面，本发明提供了一种基于WAF的流量控制方法，所述方法应用于域名解析服务器侧，所述方法包括：

接收Web应用防火墙WAF发送的流量牵引策略，所述流量牵引策略是所述WAF生成用于指示开启网站云安全管控平台的云开启指令时生成的，所述网站云安全管控平台的管理界面内嵌于所述WAF中；

根据所述流量牵引策略将客户端发送的数据流量牵引至网站云安全管控平台进行过滤。

第三方面，本发明提供了一种基于WAF的流量控制装置，所述装置应用于WAF侧，所述装置包括：

生成单元，用于在使用Web应用防火墙WAF过滤客户端发送的数据流量的过程中，根据云开启触发条件，生成云开启指令，所述云开启指令中携带有流量牵引策略；

开启单元，用于根据所述生成单元生成的所述云开启指令，通过调用内嵌的网站云安全管控平台的管理界面的接口，开启所述网站云安全管控平台；

发送单元，用于将所述流量牵引策略发送给域名解析服务器，以便所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

第四方面，本发明提供了一种基于WAF的流量控制装置，所述装置应用于域名解析服务器侧，所述装置包括：

接收单元，用于接收Web应用防火墙WAF发送的流量牵引策略，所述流量牵引策略是所述WAF生成用于指示开启网站云安全管控平台的云开启指令时生成的，所述网站云安全管控平台的管理界面内嵌于所述WAF中；

牵引单元，用于根据所述接收单元接收的所述流量牵引策略将客户端发送的数据流量牵引至网站云安全管控平台进行过滤。

第五方面，本发明提供了一种基于WAF的流量控制系统，所述系统包括Web应用防火墙WAF以及域名解析服务器；其中所述WAF包括如第三方面所述的装置；所述域名解析服务器包括如第四方面所述的装置。

借由上述技术方案，本发明提供的基于WAF的流量控制方法、装置及系统，能够将网站云安全管控平台的管理界面内嵌入WAF当中，在使用WAF过滤客户端发送的数据流量的过程中，可以根据具体需求(例如WAF负载超过阈值时)，来通过调用内嵌的网站云安全管控平台的管理界面的接口开启网站云安全管控平台，并通知域名解析服务器进行流量牵引操作，从而可以使得网站云安全管控平台为WAF分担数据流量，并对数据流量进行安全过滤，由此使得WAF需要过滤的数据流量不会超过其负载能力，进而避免因数据流量过大而导致WAF瘫痪。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种基于WAF的流量控制方法的流程图；

图2示出了本发明实施例提供的另一种基于WAF的流量控制方法的流程图；

图3示出了本发明实施例提供的另一种基于WAF的流量控制方法的流程图；

图4示出了本发明实施例提供的一种基于WAF的流量控制装置的组成框图；

图5示出了本发明实施例提供的另一种基于WAF的流量控制装置的组成框图；

图6示出了本发明实施例提供的另一种基于WAF的流量控制装置的组成框图；

图7示出了本发明实施例提供的另一种基于WAF的流量控制装置的组成框图；

图8示出了本发明实施例提供的一种基于WAF的流量控制系统的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

为了防止客户端访问的数据流量过大而导致WAF瘫痪，本发明实施例提供了一种基于WAF的流量控制方法，所述方法主要应用于WAF侧，如图1所示，所述方法主要包括：

101、在使用WAF过滤客户端发送的数据流量的过程中，根据云开启触发条件，生成云开启指令。

其中，云开启触发条件可以为管理人员手动触发，也可以为WAF自动触发，其具体触发方式在此不做限定。无论是管理人员进行手动触发，还是WAF进行自动触发，其触发云开启的目的主要是为了减轻WAF当前的负载量，防止WAF因大流量负载而导致系统瘫痪。

此外，云开启指令中携带有流量牵引策略。在实际应用中流量牵引策略主要可以为：将所述客户端发送的所有数据流量牵引至所述网站云安全管控平台；也可以为：根据预设牵引规则，将所述客户端发送的部分数据流量牵引至所述网站云安全管控平台。

需要说明的是，本发明实施例中的WAF所处的网站服务系统架构可以为：WAF串联在网站服务器的前端，也可以为：WAF串联在传统防火墙的后端，还可以为：WAF作为旁路部署在网关上。由此可知，WAF需过滤的数据流量可能不是客户端直接发送的数据流量，而可能是经过其他设备过滤过的数据流量。

102、根据所述云开启指令，通过调用内嵌的网站云安全管控平台的管理界面的接口，开启所述网站云安全管控平台。

由于网站云安全管控平台的管理界面内嵌在WAF当中，所以WAF可以通过调用内嵌的管理界面的接口，来对网站云安全管控平台进行开启或者关闭，从而实现基于WAF间接控制网站云安全管控平台的功能。当WAF生成云开启指令时，WAF获知其现在有流量牵引需求，因此开始通过调用内嵌的网站云安全管控平台的管理界面的接口，来开启网站云安全管控平台，以便由网站云安全管控平台为WAF分担数据流量，从而减轻WAF的负担。

103、将所述流量牵引策略发送给域名解析服务器，以便所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

在开启网站云安全管控平台后，WAF可以将流量牵引策略发送给域名解析服务器，以便域名解析服务器将数据流量牵引给网站云安全管控平台进行过滤，从而减轻WAF自身的负担。

本发明实施例提供的基于WAF的流量控制方法，能够将网站云安全管控平台的管理界面内嵌入WAF当中，在使用WAF过滤客户端发送的数据流量的过程中，可以根据具体需求(例如WAF负载超过阈值时)，来通过调用内嵌的网站云安全管控平台的管理界面的接口开启网站云安全管控平台，并通知域名解析服务器进行流量牵引操作，从而可以使得网站云安全管控平台为WAF分担数据流量，并对数据流量进行安全过滤，由此使得WAF需要过滤的数据流量不会超过其负载能力，进而避免因数据流量过大而导致WAF瘫痪。

进一步的，依据图1所示的方法，本发明的另一个实施例还提供了一种基于WAF的流量控制方法，所述方法可以应用于WAF侧，如图2所示，所述方法主要包括：

201、在使用WAF过滤客户端发送的数据流量的过程中，根据云开启触发条件，生成云开启指令。

在上述实施例的步骤101中提及，云开启触发条件可以为人为触发，也可以为WAF自动触发。

若人为触发，则本步骤的具体实现方式可以为：当接收到输入的用于指示开启所述网站云安全管控平台的操作信息后，生成所述云开启指令。

具体的，在WAF的管理平台上可以增加设置开关网站云安全管控平台的操作区域，以便管理人员通过在该操作区域中进行操作，触发云开启指令的生成。

若为WAF自动触发，则本步骤的具体实现方式可以为：检测所述WAF当前的资源占用率是否达到预设阈值，并在所述资源占用率达到所述预设阈值时，生成所述云开启指令。。

其中，预设阈值可以为WAF系统各性能较佳的情况下，WAF所能承受的最大处理范围。WAF的资源包括CPU、内存等。资源占用率可以为这些资源中任一项的占用率，也可以任意几项的综合占用率。

202、根据所述云开启指令，通过调用内嵌的网站云安全管控平台的管理界面的接口，开启所述网站云安全管控平台。

本步骤的具体实现方式与上述步骤102的具体实现方式一致，在此不再赘述。

203、将所述流量牵引策略发送给域名解析服务器，以便所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

由于网站云安全管控平台主要基于通用安全层面来对数据流量进行过滤，而WAF除了可以基于通用安全层面对数据流量进行过滤外，还可以基于业务安全层面对数据流量进行过滤，所以WAF的细粒度更细。因此，在将数据流量牵引给网站云安全管控平台进行过滤后，为了进一步在业务安全层面保证数据流量的安全，WAF还可以接收所述网站云安全管控平台发送的过滤后的数据流量，并对接收到的数据流量进行二次过滤。

其中，通用安全层面的过滤主要包括对DDOS攻击、CC攻击、放大攻击等这些通用的攻击进行过滤；业务安全层面的过滤主要是根据网站服务器指定的业务需求设置的过滤规则，例如网站的某个URL(Uniform Resource Locator，统一资源定位符)只允许某些IP(Internet Protocol，网间协议)地址访问，而其他IP地址禁止访问。

204、根据云关闭触发条件，生成云关闭指令。

由于网站并非时时刻刻都遭受攻击，所以客户端发送给WAF的数据流量并非时时刻刻都那么多。又由于WAF是个硬件设备，对于企业来说是可见的，而网站云安全管控平台是云服务，对于企业来说是不可见的，所以考虑到数据的安全性，企业往往优先考虑使用WAF进行安全防护。因此，在通过调用内嵌的网站云安全管控平台的管理界面的接口，开启网站云安全管控平台之后，若客户端发送的数据流量大大减少，则可以关闭网站云安全管控平台，以便继续使用WAF对数据流量进行过滤。

与云开启触发条件相类似的，云关闭触发条件可以为管理人员触发，也可以为WAF自动触发。

若人为触发，则本步骤的具体实现方式可以为：当接收到输入的用于指示关闭所述网站云安全管控平台的操作信息后，生成所述云关闭指令。

若为WAF自动触发，则本步骤的具体实现方式可以为：根据所述网站云安全管控平台反馈的数据流量处理信息和/或所述WAF当前的资源占用率，生成所述云关闭指令。

具体的，在域名解析服务器将所有数据流量牵引给网站云安全管控平台后，网站云安全管控平台可以实时或者定时检测其在预设时间段内(如一秒)需要处理的数据请求的数量，并将该数量反馈给WAF，以便WAF根据该数量以及当前的资源占用率来判断是否需要停止关闭网站云安全管控平台。

在将预设阈值之外的数据流量牵引给网站云安全管控平台后，WAF可以实时检测自身的资源占用率，当资源占用率小于预设阈值，则说明已没有多余的数据流量需要牵引给网站云安全管控平台，从而可以关闭网站云安全管控平台。

205、根据所述云关闭指令，通过调用内嵌的网站云安全管控平台的管理界面的接口，关闭所述网站云安全管控平台。

206、将流量牵引停止指令发送给所述域名解析服务器，以便所述域名解析服务器停止将所述客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

在通过调用内嵌的网站云安全管控平台的管理界面的接口，关闭所述网站云安全管控平台之后，可以通知域名解析服务器停止将数据流量牵引给网站云安全管控平台，并将所有的数据流量牵引给WAF。

本发明实施例提供的基于WAF的流量控制方法，不仅能够在客户端发送给WAF的数据流量过大时，WAF可以通过调用内嵌的网站云安全管控平台的管理界面的接口开启网站云安全管控平台，使得网站云安全管控平台为WAF分担数据流量，还可以在客户端发送给WAF的数据流量大大减少时，通过调用内嵌的网站云安全管控平台的管理界面的接口关闭网站云安全管控平台，从而恢复WAF对所有数据流量进行优先过滤的功能。

进一步的，依据图1所示的方法，本发明的另一个实施例还提供了一种基于WAF的流量控制方法，所述方法可以应用于域名解析服务器侧，如图3所示，所述方法主要包括：

301、接收WAF发送的流量牵引策略。

其中，所述流量牵引策略是所述WAF生成用于指示开启网站云安全管控平台的云开启指令时生成的，所述网站云安全管控平台的管理界面内嵌于所述WAF中。

其中，所述流量牵引策略可以为将所述客户端发送的所有数据流量牵引至所述网站云安全管控平台；也可以为根据预设牵引规则，将所述客户端发送的部分数据流量牵引至所述网站云安全管控平台。

其中，根据预设牵引规则，将所述客户端发送的部分数据流量牵引至所述网站云安全管控平台的具体实现方式包括但不限于以下两种：

(1)若WAF当前的资源占用率超过预设阈值，则可以将超出预设阈值的数据流量牵引给网站云安全管控平台进行过滤，即WAF过滤预设阈值的数据流量，网站云安全管控平台过滤剩余的数据流量。

其中，预设阈值可以为WAF系统各性能较佳的情况下，WAF所能承受的最大处理范围。WAF的资源包括CPU、内存等。资源占用率可以为这些资源中任一项的占用率，也可以任意几项的综合占用率。

(2)将预设比例的数据流量牵引给网站云安全管控平台。其中，预设比例是根据实际经验计算的、不会使WAF超负荷的比例值。例如，将70％的数据流量牵引给网站云安全管控平台，剩余的30％依然由WAF进行过滤。

302、根据所述流量牵引策略将客户端发送的数据流量牵引至网站云安全管控平台进行过滤。

本发明实施例提供的基于WAF的流量控制方法，能够在WAF通过调用内嵌的网站云安全管控平台的管理界面的接口开启网站云安全管控平台后，WAF向域名解析服务器发送流量牵引策略，由域名解析服务器根据流量牵引策略将数据流量牵引至网站云安全管控平台，从而使得网站云安全管控平台为WAF分担数据流量，并对数据流量进行安全过滤，由此使得WAF需要过滤的数据流量不会超过其负载能力，进而避免因数据流量过大而导致WAF瘫痪。

进一步的，在图2所示的实施例中提及，由于考虑到数据的安全性，一般情况下，企业往往优先考虑使用WAF进行安全防护，所以当数据流量大大下降时，WAF会关闭网站云安全管控平台，并向域名解析服务器发送流量牵引停止指令。因此，在根据所述流量牵引策略将客户端发送的数据流量牵引至网站云安全管控平台进行过滤之后，域名解析服务器还可以接收所述WAF发送的流量牵引停止指令，并停止将所述客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

进一步的，依据图1或图2所述的方法，本发明的另一个实施例还提供了一种基于WAF的流量控制装置，所述装置可以应用于WAF侧，如图4所示，所述装置主要包括：生成单元41、开启单元42以及发送单元43。其中，

生成单元41，用于在使用Web应用防火墙WAF过滤客户端发送的数据流量的过程中，根据云开启触发条件，生成云开启指令，所述云开启指令中携带有流量牵引策略；

需要说明的是，本发明实施例中的WAF所处的网站服务系统架构可以为：WAF串联在网站服务器的前端，也可以为：WAF串联在传统防火墙的后端，还可以为：WAF作为旁路部署在网关上。

开启单元42，用于根据所述生成单元31生成的所述云开启指令，通过调用内嵌的网站云安全管控平台的管理界面的接口，开启所述网站云安全管控平台。

发送单元43，用于将所述流量牵引策略发送给域名解析服务器，以便所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

可选的，如图5所示，所述生成单元41包括：

第一生成模块411，用于当接收到输入的用于指示开启所述网站云安全管控平台的操作信息后，生成所述云开启指令；

检测模块412，用于检测所述WAF当前的资源占用率是否达到预设阈值；

其中，预设阈值可以为系统各性能较佳的情况下，WAF所能承受的最大处理范围。WAF的资源包括CPU、内存等。资源占用率可以为这些资源中任一项的占用率，也可以任意几项的综合占用率。

第二生成模块413，用于在所述检测模块412的检测结果为所述资源占用率达到所述预设阈值时，生成所述云开启指令。

可选的，如图5所示，所述装置还包括：

接收单元44，用于在所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤之后，接收所述网站云安全管控平台发送的过滤后的数据流量；

过滤单元45，用于对所述接收单元44接收到的数据流量进行二次过滤。

可选的，所述生成单元41还用于在所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤之后，根据云关闭触发条件，生成云关闭指令；

如图5所示，关闭单元46，用于根据所述生成单元41生成的所述云关闭指令，通过调用内嵌的网站云安全管控平台的管理界面的接口，关闭所述网站云安全管控平台。

所述发送单元43还用于将流量牵引停止指令发送给所述域名解析服务器，以便所述域名解析服务器停止将所述客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

可选的，如图5所示，所述生成单元41还包括：

第三生成模块414，用于当接收到输入的用于指示关闭所述网站云安全管控平台的操作信息后，生成所述云关闭指令；

第四生成模块415，用于根据所述网站云安全管控平台反馈的数据流量处理信息和/或所述WAF当前的资源占用率，生成所述云关闭指令。

可选的，所述流量牵引策略包括：

将所述客户端发送的所有数据流量牵引至所述网站云安全管控平台；

或者，根据预设牵引规则，将所述客户端发送的部分数据流量牵引至所述网站云安全管控平台。

本发明实施例提供的基于WAF的流量控制装置，能够将网站云安全管控平台的管理界面内嵌入WAF当中，在使用WAF过滤客户端发送的数据流量的过程中，可以根据具体需求(例如WAF负载超过阈值时)，来通过调用内嵌的网站云安全管控平台的管理界面的接口开启网站云安全管控平台，并通知域名解析服务器进行流量牵引操作，从而可以使得网站云安全管控平台为WAF分担数据流量，并对数据流量进行安全过滤，由此使得WAF需要过滤的数据流量不会超过其负载能力，进而避免因数据流量过大而导致WAF瘫痪。此外，在客户端发送给WAF的数据流量大大减少时，通过调用内嵌的网站云安全管控平台的管理界面的接口关闭网站云安全管控平台，从而恢复WAF对所有数据流量进行优先过滤的功能。

进一步的，依据图3所示的方法，本发明的另一个实施例还提供了一种基于WAF的流量控制装置，所述装置应用于域名解析服务器侧，如图6所示，所述装置主要包括：接收单元51以及牵引单元52。其中，

接收单元51，用于接收Web应用防火墙WAF发送的流量牵引策略，所述流量牵引策略是所述WAF生成用于指示开启网站云安全管控平台的云开启指令时生成的，所述网站云安全管控平台的管理界面内嵌于所述WAF中；

牵引单元52，用于根据所述接收单元51接收的所述流量牵引策略将客户端发送的数据流量牵引至网站云安全管控平台进行过滤。

可选的，如图7所示，所述牵引单元52包括：

第一牵引模块521，用于将所述客户端发送的所有数据流量牵引至所述网站云安全管控平台；

第二牵引模块522，用于根据预设牵引规则，将所述客户端发送的部分数据流量牵引至所述网站云安全管控平台。

可选的，所述接收单元51还用于在根据所述流量牵引策略将客户端发送的数据流量牵引至网站云安全管控平台进行过滤之后，接收所述WAF发送的流量牵引停止指令；

如图7所示，所述装置还包括：

停止单元53，用于停止将所述客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

本发明实施例提供的基于WAF的流量控制装置，能够在WAF通过调用内嵌的网站云安全管控平台的管理界面的接口开启网站云安全管控平台后，WAF向域名解析服务器发送流量牵引策略，由域名解析服务器根据流量牵引策略将数据流量牵引至网站云安全管控平台，从而使得网站云安全管控平台为WAF分担数据流量，并对数据流量进行安全过滤，由此使得WAF需要过滤的数据流量不会超过其负载能力，进而避免因数据流量过大而导致WAF瘫痪。

进一步的，依据上述装置实施例，本发明的另一个实施例还提供了一种基于WAF的流量控制系统，如图8所示，所述系统包括WAF 61以及域名解析服务器62；其中所述WAF 61包括如图4或5所示的装置；所述域名解析服务器62包括如图6或7所示的装置。

本发明实施例提供的基于WAF的流量控制系统，能够将网站云安全管控平台的管理界面内嵌入WAF当中，在使用WAF过滤客户端发送的数据流量的过程中，可以根据具体需求(例如WAF负载超过阈值时)，来通过调用内嵌的网站云安全管控平台的管理界面的接口开启网站云安全管控平台，并通知域名解析服务器进行流量牵引操作，从而可以使得网站云安全管控平台为WAF分担数据流量，并对数据流量进行安全过滤，由此使得WAF需要过滤的数据流量不会超过其负载能力，进而避免因数据流量过大而导致WAF瘫痪。

本发明实施例还公开了：

A1、一种基于WAF的流量控制方法，所述方法应用于WAF侧，所述方法包括：

在使用Web应用防火墙WAF过滤客户端发送的数据流量的过程中，根据云开启触发条件，生成云开启指令，所述云开启指令中携带有流量牵引策略；

根据所述云开启指令，通过调用内嵌的网站云安全管控平台的管理界面的接口，开启所述网站云安全管控平台；

将所述流量牵引策略发送给域名解析服务器，以便所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

A2、根据A1所述的方法，所述根据云开启触发条件，生成云开启指令包括：

当接收到输入的用于指示开启所述网站云安全管控平台的操作信息后，生成所述云开启指令；

或者，检测所述WAF当前的资源占用率是否达到预设阈值，并在所述资源占用率达到所述预设阈值时，生成所述云开启指令。

A3、根据A1所述的方法，在所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤之后，所述方法还包括：

接收所述网站云安全管控平台发送的过滤后的数据流量；

对接收到的数据流量进行二次过滤。

A4、根据A1所述的方法，在所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤之后，所述方法还包括：

根据云关闭触发条件，生成云关闭指令；

根据所述云关闭指令，通过调用内嵌的网站云安全管控平台的管理界面的接口，关闭所述网站云安全管控平台；

将流量牵引停止指令发送给所述域名解析服务器，以便所述域名解析服务器停止将所述客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

A5、根据A4所述的方法，所述根据云关闭触发条件，生成云关闭指令包括：

当接收到输入的用于指示关闭所述网站云安全管控平台的操作信息后，生成所述云关闭指令；

或者，根据所述网站云安全管控平台反馈的数据流量处理信息和/或所述WAF当前的资源占用率，生成所述云关闭指令。

A6、根据A1至A5中任一项所述的方法，所述流量牵引策略包括：

将所述客户端发送的所有数据流量牵引至所述网站云安全管控平台；

或者，根据预设牵引规则，将所述客户端发送的部分数据流量牵引至所述网站云安全管控平台。

B7、一种基于WAF的流量控制方法，所述方法应用于域名解析服务器侧，所述方法包括：

接收Web应用防火墙WAF发送的流量牵引策略，所述流量牵引策略是所述WAF生成用于指示开启网站云安全管控平台的云开启指令时生成的，所述网站云安全管控平台的管理界面内嵌于所述WAF中；

根据所述流量牵引策略将客户端发送的数据流量牵引至网站云安全管控平台进行过滤。

B8、根据B7所述的方法，所述根据所述流量牵引策略将客户端发送的数据流量牵引至网站云安全管控平台进行过滤包括：

将所述客户端发送的所有数据流量牵引至所述网站云安全管控平台；

或者，根据预设牵引规则，将所述客户端发送的部分数据流量牵引至所述网站云安全管控平台。

B9、根据B7或B8所述的方法，在根据所述流量牵引策略将客户端发送的数据流量牵引至网站云安全管控平台进行过滤之后，所述方法还包括：

接收所述WAF发送的流量牵引停止指令；

停止将所述客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

C10、一种基于WAF的流量控制装置，所述装置应用于WAF侧，所述装置包括：

生成单元，用于在使用Web应用防火墙WAF过滤客户端发送的数据流量的过程中，根据云开启触发条件，生成云开启指令，所述云开启指令中携带有流量牵引策略；

开启单元，用于根据所述生成单元生成的所述云开启指令，通过调用内嵌的网站云安全管控平台的管理界面的接口，开启所述网站云安全管控平台；

发送单元，用于将所述流量牵引策略发送给域名解析服务器，以便所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

C11、根据C10所述的装置，所述生成单元包括：

第一生成模块，用于当接收到输入的用于指示开启所述网站云安全管控平台的操作信息后，生成所述云开启指令；

检测模块，用于检测所述WAF当前的资源占用率是否达到预设阈值；

第二生成模块，用于在所述检测模块的检测结果为所述资源占用率达到所述预设阈值时，生成所述云开启指令。

C12、根据C10所述的装置，所述装置还包括：

接收单元，用于在所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤之后，接收所述网站云安全管控平台发送的过滤后的数据流量；

过滤单元，用于对所述接收单元接收到的数据流量进行二次过滤。

C13、根据C10所述的装置，所述生成单元还用于在所述域名解析服务器将客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤之后，根据云关闭触发条件，生成云关闭指令；

关闭单元，用于根据所述生成单元生成的所述云关闭指令，通过调用内嵌的网站云安全管控平台的管理界面的接口，关闭所述网站云安全管控平台；

所述发送单元还用于将流量牵引停止指令发送给所述域名解析服务器，以便所述域名解析服务器停止将所述客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

C14、根据C13所述的装置，所述生成单元还包括：

第三生成模块，用于当接收到输入的用于指示关闭所述网站云安全管控平台的操作信息后，生成所述云关闭指令；

第四生成模块，用于根据所述网站云安全管控平台反馈的数据流量处理信息和/或所述WAF当前的资源占用率，生成所述云关闭指令。

C15、根据C10至C14中任一项所述的装置，所述流量牵引策略包括：

将所述客户端发送的所有数据流量牵引至所述网站云安全管控平台；

或者，根据预设牵引规则，将所述客户端发送的部分数据流量牵引至所述网站云安全管控平台。

D16、一种基于WAF的流量控制装置，所述装置应用于域名解析服务器侧，所述装置包括：

接收单元，用于接收Web应用防火墙WAF发送的流量牵引策略，所述流量牵引策略是所述WAF生成用于指示开启网站云安全管控平台的云开启指令时生成的，所述网站云安全管控平台的管理界面内嵌于所述WAF中；

牵引单元，用于根据所述接收单元接收的所述流量牵引策略将客户端发送的数据流量牵引至网站云安全管控平台进行过滤。

D17、根据D16所述的装置，所述牵引单元包括：

第一牵引模块，用于将所述客户端发送的所有数据流量牵引至所述网站云安全管控平台；

第二牵引模块，用于根据预设牵引规则，将所述客户端发送的部分数据流量牵引至所述网站云安全管控平台。

D18、根据D16或D17所述的装置，所述接收单元还用于在根据所述流量牵引策略将客户端发送的数据流量牵引至网站云安全管控平台进行过滤之后，接收所述WAF发送的流量牵引停止指令；

所述装置还包括：

停止单元，用于停止将所述客户端发送的数据流量牵引至所述网站云安全管控平台进行过滤。

E19、一种基于WAF的流量控制系统，所述系统包括Web应用防火墙WAF以及域名解析服务器；其中所述WAF包括如C10至C15中任一项所述的装置；所述域名解析服务器包括如D16至D18中任一项所述的装置。

可以理解的是，上述方法、装置及系统中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的基于WAF的流量控制方法、装置及系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。