WEB应用服务器安全防护方法、装置、系统及电子设备与流程

本申请涉及安全防护领域，具体涉及一种web应用服务器安全防护方法、装置、系统及电子设备。

背景技术：

目前加密通信与服务已经成为了常用的主流通信保护技术，通常采用旁路镜像模式部署的web应用防火墙无法获取到解密数据内容，也无法判断已加密数据中是否有带攻击的载荷，导致对web应用服务器安全防护能力下降，而反向代理等web应用防火墙的部署模式，该部署模式采用非标准的ssl证书加密，导致不具备证书卸载和流量解密能力，为了对这一部分加密数据进行安全检测，保护其可能的攻击隐患不会对web服务产生影响，因此设计了本专利的技术。

技术实现要素：

本申请实施例一个目的在于克服上述问题或者至少部分地解决或缓减上述问题。本申请实施例公开的技术方案通过部署流量应用软件获取解密流量，由web应用防火墙对该解密流量按照正常的流程进行检测，可以保护处理加密流量的web应用服务器免受到基于http/https的应用层攻击，极大提升了web应用服务器的安全运行水平。

第一方面，本申请实施例提供了一种web应用服务器安全防护方法，包括，

部署流量应用软件，根据web应用服务器上的流量解密软件对所述流量应用软件进行适应性配置；

经流量应用软件发送经所述流量应用软件截获的解密流量至web应用防火墙，所述解密流量通过流量解密软件进行解密处理获得；

经流量应用软件获取web应用防火墙反馈的对解密流量进行检测分析结果，所述流量应用软件根据检测分析结果对所述解密流量进行相应处理。

优选地，所述部署流量应用软件，包括，

判断所述流量应用软件与web应用防火墙之间是否存在网络连接，以确保所述流量应用软件与所述web应用防火墙之间可进行正常通信。

优选地，对所述流量应用软件根据web应用服务器上的流量解密软件进行适应性配置，包括，

根据所述流量解密软件配置调整所述流量应用软件接收解密流量的数据格式和接收方式，以确保流量应用软件可以截获经流量解密软件输出的解密流量。

优选地，所述经流量应用软件发送经所述流量应用软件截获的解密流量至web应用防火墙，包括，

获取所述web应用防火墙上对所述流量应用软件开放的对应ip地址和对应端口；

通过所述对应ip地址和对应端口发送经所述流量应用软件截获的解密流量至web应用防火墙。

优选地，所述流量应用软件根据检测分析结果处理所述解密流量，包括，

当经检测判断解密流量无攻击载荷，则所述流量应用软件放行解密流量；

当经检测判断解密流量具有攻击载荷，则所述流量应用软件拦截并阻断解密流量。

本申请公开的实施例通过将流量应用软件部署至web应用服务器中，通过获取web应用服务器上的流量流量解密软件解密的流量，采用引流方式将解密流量引流至web应用防火墙进行检测分析，并将检测分析结果反馈至流量应用软件，流量应用软件根据检测结果处理解密流量，可以保护处理加密流量的web应用服务器免受到基于http/https的应用层攻击，极大提升了web应用服务器的安全运行水平。

第二方面，本申请实施例还公开了一种web应用服务器安全防护方法，包括，

获取经流量应用软件截获的解密流量，所述解密流量在流量解密软件进行解密处理获得，所述流量应用软件和流量解密软件部署在web应用服务器上；

对获取的解密流量进行检测分析，将检测分析结果反馈至所述流量应用软件，所述流量应用软件根据检测分析结果处理所述解密流量。

优选地，获取经流量应用软件引流的解密流量之前，包括，

判断所述流量应用软件与web应用防火墙之间是否存在网络连接以确保可以通过网络与所述流量应用软件之间进行正常通信。

优选地，所述web应用服务器上的流量应用软件根据流量解密软件进行适应性配置，以确保流量应用软件可以截获所述流量解密软件解密处理的解密流量。

与现有技术相比，本申请公开的实施例通过将流量应用软件部署至web应用服务器中，通过获取web应用服务器上的流量流量解密软件解密的通信流量，采用引流方式将解密流量引流至web应用防火墙进行检测分析，并将检测分析结果反馈至流量应用软件，流量应用软件根据检测结果处理解密流量，可以保护处理加密流量的web应用服务器免受到基于http/https的应用层攻击，极大提升了web应用服务器的安全运行水平。

第三方面，本申请实施例还提供了一种web应用服务器，包括，

部署配置单元，用于部署流量应用软件，根据web应用服务器上的流量解密软件对所述流量应用软件进行适应性配置；

发送单元，用于将经流量应用软件发送经所述流量应用软件截获的解密流量至web应用防火墙，所述解密流量通过流量解密软件进行解密处理获得；

获取单元，用于经流量应用软件获取web应用防火墙反馈的对解密流量检测分析结果，所述流量应用软件根据检测分析结果处理所述解密流量。

与现有技术相比，本申请实施例提供的一种web应用服务器的有益效果与上述第一方面任一项技术方案的有益效果相同，在此不再赘述。

第四方面，本申请实施例还提供了一种web应用防火墙，包括，

获取单元，用于获取经流量应用软件截获的解密流量，所述解密流量通过流量解密软件进行解密处理获得，所述流量应用软件和流量解密软件均部署在web应用服务器上；

检测分析单元，用于用于对获取的解密流量进行检测分析，将检测分析结果反馈至所述流量应用软件，所述流量应用软件根据检测分析结果处理所述解密流量。

与现有技术相比，本申请实施例提供的一种web应用防火墙的有益效果与上述第二方面任一项技术方案的有益效果相同，在此不再赘述。

第五方面，本申请实施例还提供了一种web应用服务器安全防护系统，包括，

web应用服务器，所述应用服务器上部署有流量应用软件和流量解密软件，用于经流量应用软件发送经所述流量应用软件截获的解密流量至web应用防火墙，所述解密流量在流量解密软件对加密流量进行解密处理获得；用于经流量应用软件获取web应用防火墙反馈的对解密流量进行检测分析结果，所述流量应用软件根据检测分析结果处理所述解密流量；

web应用防火墙，用于获取经通信流量应用软件截获的解密流量，对所述解密流量进行检测分析，将检测分析结果反馈至所述通信流量应用软件。

与现有技术相比，本申请实施例提供的一种web应用服务器安全防护系统的有益效果与上述任一项技术方案的有益效果相同，在此不再赘述。

第六方面，本申请实施例还提供了一种电子设备，包括，

多个存储器，分别用于存储计算机软件；

多个处理器，分别执行计算机软件，以实现上述任意一项技术方案中所述的服务模块的功能和操作。

与现有技术相比，本申请实施例提供的一种电子设备的有益效果与上述任一项技术方案的有益效果相同，在此不再赘述。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分，本领域技术人员应该理解的是，这些附图未必是按比例绘制的，在附图中：

图1为本申请一个实施例中公开的一种web应用服务器安全防护方法流程示意图；

图2为本申请另一个实施例中公开的一种web应用服务器安全防护方法方法流程示意图；

图3为本申请一个实施例中公开的一种web应用服务器结构示意图；

图4为本申请一个实施例中公开的一种web应用防火墙结构示意图；

图5为一个实施例中公开的一种web应用服务器安全防护系统结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

申请人发现目前通常采用旁路镜像模式部署的web应用防火墙由于无法获取到解密流量，从而无法判断加密流量中是否带有攻击载荷，导致不能有效保护web应用服务器的安全。采用反向代理部署web应用防火墙，由于这种部署模式采用非标准的ssl证书加密，不具备证书卸载和流量解密能力，导致也不能有效保护web应用服务器的安全运行。

为了解决上述问题，本申请实施例通过在web应用服务器上部署流量应用软件，获取web应用服务器上的流量解密软件，通过流量应用软件获取流量解密软件到web应用服务之间的解密流量，通过流量应用软件与web应用防火墙之间的网络连接，将解密流量引入web应用防火墙，web应用防火墙按照已有安全规则对解密流量进行检测分析，通过流量应用软件获取web应用防火墙反馈的检测分析结果，流量应用软件根据放行规则确定是否放行该解密流量，本申请实施例可有效避开web应用服务器加密流量的加密区间，从流量解密软件位置获取解密流量并进行检测，解决了对web应用层加密流量恶意攻击隐患的检测和防护问题，在很大程度上保证了web应用服务器的安全性。

第一方面，如图1所示，本申请实施例提供了一种web应用服务器安全防护方法，本方法的执行主体为web应用服务器，包括以下步骤：

步骤s01，部署通信流量应用软件，根据web应用服务器上的流量解密软件对所述流量应用软件进行适应性配置；

需要说明的是，流量应用软件部署在web应用服务器上，与同样部署在web应用防火墙上的流量解密软件进行适应性配置，首先需要判断流量应用软件与web应用防火墙之间是否存在网络连接，以确保流量应用软件与web应用防火墙之间可进行正常通信；其次流量应用软件根据流量解密软件输出解密流量的数据格式和输出方式，相应调整接收解密流量的数据格式和接收方式，以确保通信流量应用软件可以截获经流量解密软件输出的解密流量，在本申请的实施例中，一般的流量解密软件通常部署在业务服务器中，保证数据解密到使用的过程不经历任何的网络通信，全部在同一个系统中完成处理操作，因此必须将流量应用软件部署在业务服务器上，流量应用软件在部署完成后，确保可以通过网络与web应用防火墙正常通信，此时通过配置，将流量解密软件解密后的流量，通过软件进行读取、截获。

步骤s02，流量应用软件发送经所述流量应用软件截获的解密流量至web应用防火墙，所述解密流量通过流量解密软件进行解密处理获得；

需要说明的是，将解密流量通过流量应用软件预设的配置，通过网络传入web应用防火墙中，由web应用防火墙来对流量进行分析。

为了可靠传送解密流量至web应用防火墙，流量应用软件和web应用防火墙基于开放的ip地址和端口建立稳定可靠的网络连接，确保流量应用软件可以将所获得的的解密流量传送至web应用防火墙，其中，解密流量通过设置在web应用服务器上的流量解密软件进行解密处理获得。另外，web应用防火墙将必要的检测引擎服务对外开启，将对应的ip地址和端口向流量应用软件开放，由流量软件采用预制的软件开发工具包中默认的配置对web应用防火墙进行对接，采用web应用防火墙开放的ip地址和端口进行连接。然后，web应用防火墙按照正常站点配置方式进行配置，采用此种方式，web应用防火墙对流量应用软件引流的解密流量的http数据进行解析，分析其是否存在攻击行为，并记录日志。

步骤s03，经流量应用软件获取web应用防火墙反馈的对解密流量进行检测分析结果，所述流量应用软件根据检测分析结果对所述解密流量进行相应处理；

需要说明的是，web应用防火墙监测分析完解密流量后，将反馈检测结果，检测结果除了常规的web应用防火墙数据发送方式外，还会反馈给流量应用软件，由流量应用软件负责将该通信拦截、阻断或放行。

当经web应用防火墙检测判断解密流量无攻击载荷，则流量应用软件放行解密流量；

当经web应用防火墙检测判断解密流量含有攻击载荷，则流量应用软件拦截并阻断解密流量。

与现有技术相比，本申请实施例提供的一种web应用服务器安全防护方法，web应用防火墙通过将流量应用软件嵌入到客户的业务服务器中，通过对解密后流量采用引流的方式，将解密流量发送到web应用防火墙进行检测分析，并根据返回检测分析结果来进行放行流量或阻断流量的动作，达到对加密通信服务的web应用安全防护，在很大程度上提升了web应用服务的安全稳定运行，提升了web应用服务的用户体验。

第二方面，如图2所示，本申请实施例提供了一种web应用服务器安全防护方法，本方法的执行主体为web应用防火墙，包括以下步骤：

步骤s21，获取经流量应用软件截获的解密流量，所述解密流量通过流量解密软件进行解密处理获得，所述流量应用软件和流量解密软件部署在web应用服务器上；

需要说明的是，流量应用软件部署在web应用服务器上，与同样部署在web应用防火墙上的通信流量解密软件进行适应性配置，首先需要判断流量应用软件与web应用防火墙之间是否存在网络连接，以确保流量应用软件与web应用防火墙之间可进行正常通信；其次流量应用软件根据流量解密软件输出解密流量的数据格式和输出方式，相应调整接收解密流量的数据格式和接收方式，以确保通信流量应用软件可以截获经流量解密软件输出的解密流量。在本申请的实施例中，一般的流量解密软件通常部署在业务服务器中，保证数据解密到使用的过程不经历任何的网络通信，全部在同一个系统中完成处理操作，因此必须将流量应用软件部署在业务服务器上，流量应用软件在部署完成后，确保可以通过网络与web应用防火墙正常通信，此时通过配置，将流量解密软件解密后的流量，通过软件进行读取、截获。

步骤s22，对获取的解密流量进行检测分析，将检测分析结果反馈至所述流量应用软件，所述流量应用软件根据检测分析结果处理所述解密流量。

需要说明的是，为了可靠传送解密流量至web应用防火墙，web应用防火墙需要对流量应用软件开放相应的ip地址和端口，流量应用软件和web应用防火墙基于开放的ip地址和端口建立稳定可靠的网络连接，确保流量应用软件可以将所获得的的解密流量传送至web应用防火墙，其中解密流量通过设置在web应用服务器上的流量解密软件进行解密处理获得。

其中，解密流量通过设置在web应用服务器上的解密流量软件进行解密处理获得。另外，web应用防火墙将必要的检测引擎服务对外开启，将对应的ip地址和端口向流量应用软件开放，由流量软件采用预制的软件开发工具包中默认的配置对web应用防火墙进行对接，采用web应用防火墙开放的ip地址和端口进行连接。然后，web应用防火墙按照正常站点配置方式进行配置，采用此种方式，web应用防火墙对流量应用软件引流的解密流量的http数据进行解析，分析其是否存在攻击行为，并记录日志，web应用防火墙监测分析完解密流量后，将反馈检测结果，检测结果除了常规的web应用防火墙数据发送方式外，还会反馈给流量应用软件，由流量应用软件负责将该通信拦截、阻断或放行。

当经web应用防火墙检测判断解密流量无攻击载荷，则通信流量应用软件放行解密流量；

当经web应用防火墙检测判断解密流量含有攻击载荷，则通信流量应用软件拦截并阻断解密流量。

与现有技术相比，本申请实施例提供的一种web应用服务器安全防护方法，与现有技术相比，本申请实施例提供的一种web应用服务器安全防护方法，web应用防火墙通过将流量应用软件嵌入到客户的业务服务器中，通过对解密后流量采用引流的方式，将解密流量发送到web应用防火墙进行检测分析，并根据返回检测分析结果来进行放行流量或阻断流量的动作，达到对加密通信服务的web应用安全防护，在很大程度上提升了web应用服务的安全稳定运行，提升了web应用服务的用户体验。

第三方面，如图3所示，本申请实施例还提供了一种web应用服务器，包括：

部署配置单元，用于部署流量应用软件，并对所述流量应用软件根据web应用服务器上的流量解密软件进行适应性配置；

发送单元，用于将经流量应用软件发送经所述流量应用软件截获的解密流量至web应用防火墙，所述解密流量在流量解密软件解密处理获得；

获取单元，用于经流量应用软件获取web应用防火墙反馈的对解密流量检测分析结果，所述流量应用软件根据检测分析结果处理所述解密流量。

需要说明的是，流量应用软件部署在web应用服务器上，与同样部署在web应用防火墙上的通信流量解密软件进行适应性配置，首先需要判断流量应用软件与web应用防火墙之间是否存在网络连接，以确保流量应用软件与web应用防火墙之间可进行正常通信；其次流量应用软件根据流量解密软件输出解密流量的数据格式和输出方式，相应调整接收解密流量的数据格式和接收方式，以确保通信流量应用软件可以截获经流量解密软件输出的解密流量，为了可靠传送解密流量至web应用防火墙，web应用防火墙需要对流量应用软件开放相应的ip地址和端口，流量应用软件和web应用防火墙基于开放的ip地址和端口建立稳定可靠的网络连接，确保流量应用软件可以将所获得的的解密流量传送至web应用防火墙，其中解密流量通过设置在web应用服务器上的流量解密软件进行解密处理获得。

第四方面，如图4所示，本申请实施例还提供了一种web应用防火墙，包括：

获取单元41，用于获取经流量应用软件截获的解密流量，所述解密流量通过流量解密软件进行解密处理获得，所述流量应用软件和通信流量解密软件均部署在web应用服务器上；

检测分析单元42，用于用于对获取的解密流量进行检测分析，将检测分析结果反馈至所述流量应用软件，所述流量应用软件根据检测分析结果处理所述解密流量。

与现有技术相比，本申请实施例提供的一种web应用防火墙的有益效果与上述任一项技术方案的有益效果相同，在此不再赘述。

第五方面，如图5所示，本申请实施例还提供了一种web应用服务器安全防护系统，包括，

web应用服务器51，所述web应用服务器上部署有流量应用软件和流量解密软件，用于经流量应用软件发送经所述流量应用软件截获的解密流量至web应用防火墙，所述解密流量在流量解密软件对加密流量进行解密处理获得；用于经流量应用软件获取web应用防火墙反馈的对解密流量进行检测分析结果，所述流量应用软件根据检测分析结果处理所述解密流量；

web应用防火墙52，用于获取经流量应用软件截获的解密流量，对所述解密流量进行检测分析，将检测分析结果反馈至所述流量应用软件。

与现有技术相比，本申请实施例提供的一种web应用服务器安全防护系统的有益效果与上述任一项技术方案的有益效果相同，在此不再赘述。

第六方面，本申请实施例还提供了一种电子设备，包括，

多个存储器，分别用于存储计算机软件；

多个处理器，分别执行计算机软件，以实现上述任一一技术方案所述的服务模块的功能和操作。

与现有技术相比，本申请实施例提供的一种电子设备的有益效果与上述任一项技术方案的有益效果相同，在此不再赘述。

在本申请的实施例中，各个模块或系统可以是由计算机软件指令形成的处理器，处理器可以是一种集成电路芯片，具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(digitalsignalprocessor，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现场可编程门阵列(fieldprogrammablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息，结合其硬件完成上述方法的步骤。

第六个方面，本申请实施例还提供了一种计算机存储介质，所述计算机存储介质存储有计算机软件指令，所述计算机软件指令用于执行如上所述的方法。

存储介质可以是存储器，例如可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。

其中，非易失性存储器可以是只读存储器(read-onlymemory，简称rom)、可编程只读存储器(programmablerom，简称prom)、可擦除可编程只读存储器(erasableprom，简称eprom)、电可擦除可编程只读存储器(electricallyeprom，简称eeprom)或闪存。

易失性存储器可以是随机存取存储器(randomaccessmemory，简称ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(staticram，简称sram)、动态随机存取存储器(dynamicram，简称dram)、同步动态随机存取存储器(synchronousdram，简称sdram)、双倍数据速率同步动态随机存取存储器(doubledataratesdram，简称ddrsdram)、增强型同步动态随机存取存储器(enhancedsdram，简称esdram)、同步连接动态随机存取存储器(synchlinkdram，简称sldram)和直接内存总线随机存取存储器(directrambusram，简称drram)。

本申请实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本申请所描述的功能可以用硬件与软件组合来实现。当应用软件时，可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机软件的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

最后应说明的是：以上各实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述各实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。