一种防火墙的实现方法和系统与流程

本发明实施例涉及互联网安全技术领域，尤其涉及一种防火墙的实现方法和系统。

背景技术：

随着科学技术的发展和互联网的不断进步，互联网的安全问题成了用户关注的交点。web攻击是十几年来黑客攻击的主流技术，很多企业也已经建立了安全基础设施。

在现有技术中，传统防火墙只是针对一些底层(网络层、传输层)的信息进行阻断。即，现有技术中，主要通过阻断底层(网络层、传输层)的信息，从而实现防火墙对黑客攻击防护。例如，提供对ip、端口的防护。但是，在现有技术中，很少有企业从应用层对黑客攻击进行防护和过滤。

于是，如何通过应用层防御sql注入、xss跨站脚本、常见web服务器插件漏洞、木马上传、非授权核心资源访问等owasp常见攻击，过滤海量恶意访问，避免网站资产数据泄露，保障网站的安全与可用性成了亟待解决的问题。

技术实现要素：

为解决上述技术问题，本发明实施例提供了一种防火墙的实现方法和系统。

根据本发明实施例的第一方面，本发明实施例提供了一种防火墙的实现方法，所述方法包括：

对接收到的多个请求信息进行解析，得到多个解析信息，其中，一个所述请求信息对应一个所述解析信息；

根据获取的预先设置的安全策略规则，对每个所述解析信息进行检验，得到检验结果；

当所述检验结果为第一解析信息与所述安全策略规则中的部分规则或全部规则相吻合时，则调取相吻合的安全策略规则所对应的拦截规则对所述第一请求信息进行拦截，得到拦截信息，其中，所述第一请求信息与所述第一解析信息相对应。

通过本实施例提供的：根据安全策略规则对接收到的每个解析信息进行检验，得到检验结果，其中，一个解析信息对应一个检验结果，如果通过检验结果得知，第一解析信息与安全策略规则中的部分规则相吻合，则根据对应的拦截规则对第一请求信息进行拦截，得到拦截信息的技术方案，一方面，避免了现有技术中的防火墙只能针对底层(网络层、传输层)的请求信息进行阻断的技术弊端；另一方面，实现了对应用层信息进行过滤的技术效果；再一方面，实现了过滤海量的恶意访问，确保网站的安全性和可靠性的技术效果。

优选地，将多个所述请求信息和多个所述解析信息进行存储，得到存储列表，在所述存储列表中，每个请求信息与其对应的解析信息相对应；

当接收到第三请求信息时，判断所述存储列表中是否有所述第三请求信息；

当判断结果为有时，则从所述存储列表中调取所述第三请求信息对应的解析信息。

通过本实施例提供的技术方案，避免了再次对同样的请求信息进行解析的技术弊端，实现了节约了时间和成本的技术效果。

优选地，所述对每个所述解析信息进行检验，得到检验结果，具体包括：

逐一检验所述安全策略规则中的每个规则与所述第一解析信息是否相吻合，得到检验结果。

通过本实施例提供的技术方案，避免了漏检的技术弊端，实现了得到精确的检验结果的技术效果。

进一步地，所述方法还包括：

根据得到的所述拦截信息，建立拦截信息日志；

根据所述安全策略规则分析所述拦截信息日志，得到调整信息；

根据所述调整信息对所述安全策略规则进行调整，得到当前安全策略规则；

根据所述当前安全策略规则对接收到的当前请求信息进行解析，其中，接收所述当前请求信息的时间晚于接收多个所述请求信息的时间。

通过本实施例提供的：根据拦截信息建立拦截信息日志，并根据安全策略规则对拦截信息日志进行分析，得到调整信息，根据该调整信息对安全策略规则进行调整，得到新的安全策略规则，即，当前安全策略规则，以便根据当前安全策略规则对当前请求信息进行解析的技术方案，一方面，避免了现有技术中“固定规则”的技术弊端；另一方面，实现了根据需求，及时对安全策略规则进行调整，确保网站的安全性和可靠性的技术效果。

进一步地，所述调取相吻合的安全策略规则所对应的拦截规则对所述第一请求信息进行拦截，得到拦截信息，具体包括：

统计预设时间内被拦截的第二请求信息的数量，得到拦截数量，其中，所述第二请求信息与所述第一请求信息相同；

当所述拦截数量等于所述安全阈值时，则对所述第一请求信息进行拦截，得到所述拦截信息。

通过本实施例提供的：当拦截数量等于安全阈值时，则对第一请求信息进行拦截的技术方案，避免了现有技术中盲目拦截请求信息的技术弊端；实现了确保网站的安全性和可靠性的技术效果。

进一步地，所述调取相吻合的安全策略规则所对应的拦截规则对所述第一请求信息进行拦截，得到拦截信息，具体包括：

调取滑动窗口中与所述第一请求信息相同的请求信息的累积数量；

根据与部分规则或全部规则相吻合的所述第一解析信息的数量，确定所述第一请求信息的当前数量；

根据所述累积数量和所述当前数量确定统计数量；

当所述统计数量大于预先设置的安全阈值时，则根据所述统计数量和所述安全阈值确定数量差值；

从当前数量的所述第一请求信息中，选择数量等于所述差值的第一请求信息进行拦截，得到所述拦截信息。

通过本实施例提供的：根据累计数量和当前数量确定统计数量，以便根据统计数量和安全阈值对第一请求信息进行拦截的技术方案，一方面，避免了现有技术中盲目拦截请求信息的技术弊端；另一方面，实现了快速获取统计数量，以确定是否对第一请求信息进行拦截的技术效果；再一方面，实现了确保网站的安全性和可靠性的技术效果。

进一步地，在所述根据获取的预先设置的安全策略规则，对每个所述解析信息进行检验，得到检验结果之前，所述方法还包括：

根据接收到的多个所述请求信息在本地的内存中获取所述安全策略规则；

当没有获取到所述安全策略规则时，则从中心节点获取所述安全策略规则；

将获取到的所述安全策略规则写入所述内存中，以便从所述内存中获取所述安全策略规则。

通过本实施例提供的：优先从本地内存中获取安全策略规则，并在当本地内存中并没有安全策略规则时，从中心节点获取安全策略规则，并写入本地内存中的技术方案，一方面，实现了快速获取安全策略规则的技术效果；另一方面，实现了确保网站的安全性和可靠性的技术效果。

优选地，所述当没有获取到所述安全策略规则时，则向中心节点获取所述安全策略规则，具体包括：

当没有获取到所述安全策略规则时，判断是否有其他用户正向所述中心节点获取所述安全策略规则；

如果判断结果为没有，则向所述中心节点获取所述安全策略规则。

通过本实施例提供的技术方案，通过“互斥锁”的方式从中心节点获取安全策略规则，确保了获取过程中的流畅性和安全性。

根据本发明实施例的另一个方面，本发明实施例提供了与上述方法相对应的一种防火墙的实现系统，所述系统包括：

解析模块：对接收到的多个请求信息进行解析，得到多个解析信息，其中，一个所述请求信息对应一个所述解析信息；

检验模块：根据获取的预先设置的安全策略规则，对每个所述解析信息进行检验，得到检验结果；

拦截模块：当所述检验结果为第一解析信息与所述安全策略规则中的部分规则或全部规则相吻合时，则调取相吻合的安全策略规则所对应的拦截规则对所述第一请求信息进行拦截，得到拦截信息，其中，所述第一请求信息与所述第一解析信息相对应。

优选地，检验模块还用于逐一检验所述安全策略规则中的每个规则与所述第一解析信息是否相吻合，得到检验结果。

优选地，所述系统还包括：

存储模块：用于将多个所述请求信息和多个所述解析信息进行存储，得到存储列表，在所述存储列表中，每个请求信息与其对应的解析信息相对应；

当接收到第三请求信息时，判断所述存储列表中是否有所述第三请求信息；

当判断结果为有时，则从所述存储列表中调取所述第三请求信息对应的解析信息。

进一步地，所述系统还包括：

建立模块：用于根据得到的拦截信息，建立拦截信息日志；

分析模块：用于根据所述安全策略规则分析所述拦截信息日志，得到调整信息；

调整模块：用于根据所述调整信息对所述安全策略规则进行调整，得到当前安全策略规则；

所述解析模块还用于：根据所述当前安全策略规则对接收到的当前请求信息进行解析，其中，接收所述当前请求信息的时间晚于接收多个所述请求信息的时间。

进一步地，所述拦截模块具体用于：

统计预设时间内被拦截的第二请求信息的数量，得到拦截数量，其中，所述第二请求信息与所述第一请求信息相同；

当所述拦截数量等于所述安全阈值时，则对所述第一请求信息进行拦截，得到所述拦截信息。

进一步地，所述拦截模块还具体用于：

调取滑动窗口中与所述第一请求信息相同的请求信息的累积数量；

根据与部分规则或全部规则相吻合的所述第一解析信息的数量，确定所述第一请求信息的当前数量；

根据所述累积数量和所述当前数量确定统计数量；

当所述统计数量大于预先设置的安全阈值时，则根据所述统计数量和所述安全阈值确定数量差值；

从当前数量的所述第一请求信息中，选择数量等于所述差值的第一请求信息进行拦截，得到所述拦截信息。

进一步地，所述系统还包括：

获取模块：用于根据接收到的多个所述请求信息在本地的内存中获取所述安全策略规则，当没有获取到所述安全策略规则时，则从中心节点获取所述安全策略规则；

写入模块：用于将获取到的所述安全策略规则写入所述内存中，以便从所述内存中获取所述安全策略规则。

优选地，所述获取模块具体用于：当没有获取到所述安全策略规则时，判断是否有其他用户正向所述中心节点获取所述安全策略规则；

如果判断结果为没有，则向所述中心节点获取所述安全策略规则。

本发明实施例的有益效果在于，由于采用了对接收到的多个请求信息进行解析，得到多个解析信息，根据获取的预先设置的安全策略规则，对每个解析信息进行检验，得到检验结果；当检验结果为第一解析信息与安全策略规则中的部分规则或全部规则相吻合时，则调取相吻合的安全策略规则所对应的拦截规则对第一请求信息进行拦截，得到拦截信息的技术方案，一方面，避免了现有技术中防火墙只能对底层的信息进行阻断的技术弊端；另一方面，实现了过滤海量的恶意访问，确保网站的安全性和可靠性的技术效果。

附图说明

图1为本发明实施例提供的一种防火墙的实现方法的流程示意图；

图2为本发明另一实施例提供的一种防火墙的实现方法的流程示意图；

图3为本发明另一实施例提供的一种防火墙的实现方法的流程示意图；

图4为本发明另一实施例提供的一种防火墙的实现方法的流程示意图；

图5为本发明另一实施例提供的一种防火墙的实现方法的流程示意图；

图6为本发明实施例提供的一种防火墙的实现系统的结构示意图；

图7为本发明另一实施例提供的一种防火墙的实现方法的结构示意图；

图8为本发明另一实施例提供的一种防火墙的实现方法的结构示意图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、接口、技术之类的具体细节，以便透切理解本发明。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中，省略对众所周知的系统、电路以及方法的详细说明，以免不必要的细节妨碍本发明的描述。

本发明实施例提供了一种防火墙的实现方法和系统。

根据本发明实施例的一个方面，本发明实施例提供了一种防火墙的实现方法。

请参阅图1，图1为本发明实施例提供的一种防火墙的实现方法的流程示意图。

如图1所示，该方法包括：

步骤s100：对接收到的多个请求信息进行解析，得到多个解析信息，其中，一个请求信息对应一个解析信息；

步骤s200：根据获取的预先设置的安全策略规则，对每个解析信息进行检验，得到检验结果；

步骤s300：当检验结果为第一解析信息与安全策略规则中的部分规则或全部规则相吻合时，则调取相吻合的安全策略规则所对应的拦截规则对第一请求信息进行拦截，得到拦截信息，其中，第一请求信息与第一解析信息相对应。

例如：接收到10个对a网站和10个对b网站进行访问的请求信息，对20个请求信息进行解析，得到20个解析信息。可以理解的是，一个请求信息有且只有一个解析信息与其对应。

根据安全策略规则对20个解析信息进行检验，具体检验方式可以为：

根据安全策略规则对20个解析信息逐一进行检验，以便得到检验结果。

如果20个解析信息中的第一解析信息a与安全策略规则中的部分规则吻合，则调取吻合的部分规则对应的拦截规则对第一解析信息a进行拦截，得到拦截信息。

通过本实施例提供的：根据安全策略规则对接收到的每个解析信息进行检验，得到检验结果，其中，一个解析信息对应一个检验结果，如果通过检验结果得知，第一解析信息与安全策略规则中的部分规则相吻合，则根据对应的拦截规则对第一请求信息进行拦截，得到拦截信息的技术方案，一方面，避免了现有技术中的防火墙只能针对底层(网络层、传输层)的请求信息进行阻断的技术弊端；另一方面，实现了对应用层信息进行过滤的技术效果；再一方面，实现了过滤海量的恶意访问，确保网站的安全性和可靠性的技术效果。

更具体地，将20个请求信息和20个解析信息进行存储，得到存储列表，且请求信息和解析信息对应存储，即，根据请求信息能立刻得到对应的解析信息。

如果再次接到请求信息，即接到第三请求信息时，则首先判断存储列表中是否有与第三请求信息相同的请求信息。如果列表中确有与第三请求信息相同的请求信息，则直接调取该请求信息对应的解析信息，作为第三请求信息的解析信息。

通过本实施例提供的技术方案，避免了再次对同样的请求信息进行解析的技术弊端，实现了节约了时间和成本的技术效果。

请参阅图2，图2为本发明另一实施例提供的一种防火墙的实现方法的流程示意图。

如图2所示，该方法还包括：

步骤s400：根据得到的拦截信息，建立拦截信息日志；

步骤s500：根据安全策略规则分析拦截信息日志，得到调整信息；

步骤s600：根据调整信息对安全策略规则进行调整，得到当前安全策略规则；

步骤s700：根据当前安全策略规则对接收到的当前请求信息进行解析，其中，接收当前请求信息的时间晚于接收多个请求信息的时间。

在本实施例中，例如：

共得到10个拦截信息，则根据该10个拦截信息建立拦截信息日志。通过安全策略规则对拦截信息日志进行分析，以确认在10个被拦截的请求信息中，是否存在部分或全部不应该拦截的请求信息；或者，随着时间的推移，某些之前被拦截的请求信息，现在已经转变为可以被接收的请求信息，得到调整信息。根据调整信息对安全策略规则进行调整，以便当再次接收到请求信息时，以修改后的安全策略规则(即当前安全策略规则)进行解析。

通过本实施例提供的：根据拦截信息建立拦截信息日志，并根据安全策略规则对拦截信息日志进行分析，得到调整信息，根据该调整信息对安全策略规则进行调整，得到新的安全策略规则，即，当前安全策略规则，以便根据当前安全策略规则对当前请求信息进行解析的技术方案，一方面，避免了现有技术中“固定规则”的技术弊端；另一方面，实现了根据需求，及时对安全策略规则进行调整，确保网站的安全性和可靠性的技术效果。

请参阅图3，图3为本发明另一实施例提供的一种防火墙的实现方法的流程示意图。

如图3所示，步骤s300具体包括：

步骤s310：统计预设时间内被拦截的第二请求信息的数量，得到拦截数量，其中，第二请求信息与第一请求信息相同；

步骤s320：当拦截数量等于安全阈值时，则对第一请求信息进行拦截，得到拦截信息。

通过本实施例提供的：当拦截数量等于安全阈值时，则对第一请求信息进行拦截的技术方案，避免了现有技术中盲目拦截请求信息的技术弊端；实现了确保网站的安全性和可靠性的技术效果。

请参阅图4，图4为本发明另一实施例提供的一种防火墙的实现方法的流程示意图。

如图4所示，步骤s300还具体包括：

步骤s330：调取滑动窗口中与第一请求信息相同的请求信息的累积数量；

步骤s340：根据与部分规则或全部规则相吻合的第一解析信息的数量，确定第一请求信息的当前数量；

步骤s350：根据累积数量和当前数量确定统计数量；

步骤s360：当统计数量大于预先设置的安全阈值时，则根据统计数量和安全阈值确定数量差值；

步骤s370：从当前数量的第一请求信息中，选择数量等于差值的第一请求信息进行拦截，得到拦截信息。

在本实施例中，基于非阻塞的时间滑动窗口实现数量的实时统计，得到累积数量。以避免每次对相应的数据进行获取，增加系统负载的技术弊端。实现了节约成本，降低系统负载的技术效果。

通过累积数量和当前数量得到统计数量，即：累积数量+当前数量＝统计数量。

再将统计数量与安全阈值进行比较，得到拦截信息。

例如：当前数量为5，累积数量为12，安全阈值为15，则统计数量为17，差值为2，则对5个请求信息中的任一两个请求信息进行拦截。

可以理解的是，在系统对5个请求信息中的任一两个请求信息进行拦截时，可以根据系统接收到请求信息的时间进行拦截，也可以根据随机抽取的方式进行拦截。

通过本实施例提供的：根据累计数量和当前数量确定统计数量，以便根据统计数量和安全阈值对第一请求信息进行拦截的技术方案，一方面，避免了现有技术中盲目拦截请求信息的技术弊端；另一方面，实现了快速获取统计数量，以确定是否对第一请求信息进行拦截的技术效果；再一方面，实现了确保网站的安全性和可靠性的技术效果。

请参阅图5，图5为本发明另一实施例提供的一种防火墙的实现方法的流程示意图。

如图5所示，在步骤s200之前，该方法还包括：

步骤s800：根据接收到的多个请求信息在本地的内存中获取安全策略规则；

步骤s900：当没有获取到安全策略规则时，则从中心节点获取安全策略规则；

步骤s1000：将获取到的安全策略规则写入内存中，以便从内存中获取安全策略规则。

通过本实施例提供的：优先从本地内存中获取安全策略规则，并在当本地内存中并没有安全策略规则时，从中心节点获取安全策略规则，并写入本地内存中的技术方案，一方面，实现了快速获取安全策略规则的技术效果；另一方面，实现了确保网站的安全性和可靠性的技术效果。

优选地，当没有获取到安全策略规则时，则向中心节点获取安全策略规则，具体包括：

当没有获取到安全策略规则时，判断是否有其他用户正向中心节点获取安全策略规则；

如果判断结果为没有，则向中心节点获取安全策略规则。

通过本实施例提供的技术方案，通过“互斥锁”的方式从中心节点获取安全策略规则，确保了获取过程中的流畅性和安全性。

根据本发明实施例的另一个方面，本发明实施例提供了与上述方法相对应的一种防火墙的实现系统。

请参阅图6，图6为本发明实施例提供的一种防火墙的实现系统的结构示意图。

如图6所示，该系统包括：

解析模块：对接收到的多个请求信息进行解析，得到多个解析信息，其中，一个请求信息对应一个解析信息；

检验模块：根据获取的预先设置的安全策略规则，对每个解析信息进行检验，得到检验结果；

拦截模块：当检验结果为第一解析信息与安全策略规则中的部分规则或全部规则相吻合时，则调取相吻合的安全策略规则所对应的拦截规则对第一请求信息进行拦截，得到拦截信息，其中，第一请求信息与第一解析信息相对应。

优选地，检验模块还用于逐一检验安全策略规则中的每个规则与第一解析信息是否相吻合，得到检验结果。

优选地，系统还包括：

存储模块：用于将多个请求信息和多个解析信息进行存储，得到存储列表，在存储列表中，每个请求信息与其对应的解析信息相对应；

当接收到第三请求信息时，判断存储列表中是否有第三请求信息；

当判断结果为有时，则从存储列表中调取第三请求信息对应的解析信息。

请参阅图7，图7为本发明另一实施例提供的一种防火墙的实现系统的结构示意图。

如图7所示，该系统还包括：

建立模块：用于根据得到的拦截信息，建立拦截信息日志；

分析模块：用于根据安全策略规则分析拦截信息日志，得到调整信息；

调整模块：用于根据调整信息对安全策略规则进行调整，得到当前安全策略规则；

解析模块还用于：根据当前安全策略规则对接收到的当前请求信息进行解析，其中，接收当前请求信息的时间晚于接收多个请求信息的时间。

更具体地，拦截模块具体用于：

统计预设时间内被拦截的第二请求信息的数量，得到拦截数量，其中，第二请求信息与第一请求信息相同；

当拦截数量等于安全阈值时，则对第一请求信息进行拦截，得到拦截信息。

更具体地，拦截模块还具体用于：

调取滑动窗口中与第一请求信息相同的请求信息的累积数量；

根据与部分规则或全部规则相吻合的第一解析信息的数量，确定第一请求信息的当前数量；

根据累积数量和当前数量确定统计数量；

当统计数量大于预先设置的安全阈值时，则根据统计数量和安全阈值确定数量差值；

从当前数量的第一请求信息中，选择数量等于差值的第一请求信息进行拦截，得到拦截信息。

请参阅图8，图8为本发明另一实施例提供的一种防火墙的实现系统的结构示意图。

如图8所示，该系统还包括：

获取模块：用于根据接收到的多个请求信息在本地的内存中获取安全策略规则，当没有获取到安全策略规则时，则从中心节点获取安全策略规则；

写入模块：用于将获取到的安全策略规则写入所述内存中，以便从内存中获取安全策略规则。

优选地，获取模块具体用于：当没有获取到安全策略规则时，判断是否有其他用户正向中心节点获取安全策略规则；

如果判断结果为没有，则向中心节点获取安全策略规则。

本发明实施例通过根据安全策略规则对解析信息进行检验，如果第一解析信息与安全策略规则中的部分规则或全部规则吻合，则对第一请求信息进行拦截，得到拦截信息的技术方案，避免了现有技术中防火墙只能对底层的信息进行阻断的技术弊端；实现了过滤海量的恶意访问，确保网站的安全性和可靠性的技术效果。

读者应理解，在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

还应理解，在本发明各实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。