一种WAF与负载的通信方法、系统及装置与流程

一种waf与负载的通信方法、系统及装置
技术领域
1.本发明涉及通信技术领域，特别是涉及一种waf与负载的通信方法、系统及装置。


背景技术：

2.waf(web application firewall，web应用防护系统)代表了一种新兴的信息安全技术，用以解决诸如防火墙等一类的网络应用安全问题。现有技术中，负载均衡服务器(简称负载)与waf建立连接，将自身接收到的访问请求首先发送至waf，由waf判定访问安全后再将该请求转发至目标响应处进行响应。
3.一台负载对应于多台waf，负载将请求轮询发送至各台waf，以实现负载均衡，现有技术中，为了实现负载与waf之间的建联通信，主要依靠如下两种方式：
4.第一种方式为直接将多台waf与该负载均配置于同一个网段，但是一旦该网段的网络出现波动，所述多台waf均不可用，导致业务工作出现问题。
5.第二种方式为依靠tcp(transmission control protocol，传输控制协议)技术，将各台waf与该负载按照如下方式配置，即以两台waf为例，将负载配置于网段1，waf1配置于网段2，依靠tcp技术实现负载与waf1之间的通信连接(即两者只能建立网段1-网段2的连接线路)，waf2配置于网段3，依靠tcp技术实现负载与waf2之间的通信连接(即两者只能建立网段1-网段3的连接线路)。但是这种方式存在的不足之处为，假如网段2出现网络波动，则负载将会把原本应由waf1承担的业务工作转发给waf2处理，导致waf2处理的业务工作数量增加，极大地增加了waf2的工作负荷，且还可能遇到带宽限制以及waf性能达到上限等其他问题，比如此时waf2已经处于瓶颈状态，则按照该种方式很难可能导致waf2出现丢包甚至服务挂死等事故。
6.因此，如何有效可靠地实现waf与负载之间的通信，是当前亟待解决的问题。


技术实现要素：

7.本发明的目的是提供一种waf与负载的通信方法、系统及装置，可以迅速的切换目标通信网段组合，保证了负载与waf之间的可靠通信连接，减少了对于自身业务工作上的影响以使不会因网络故障而空闲，也避免了因一个网段的网络波动，影响到其他waf的业务工作。
8.为解决上述技术问题，本发明提供了一种waf与负载的通信方法，应用于负载，所述waf与负载的通信方法，包括：
9.接收到访问请求时，基于预存可用网段确定自身与waf之间的目标通信网段组合，以建立自身与所述waf之间的通信线路，所述预存可用网段中包括多个当前可用网段且各所述当前可用网段均为基于预设网段检测策略更新确定；
10.在确定所述预存可用网段更新时，判断所述目标通信网段组合中的目标网段是否在更新后的预存可用网段中；
11.若否，基于所述更新后的预存可用网段重新确定自身与所述waf之间的新的目标
通信网段组合。
12.优选的，基于预存可用网段确定自身与waf之间的目标通信网段组合，包括：
13.基于所述预存可用网段确定自身与所述waf之间所有的可选通信网段组合；
14.从各所述可选通信网段组合中确定出一个最优通信网段组合；
15.确定所述最优通信网段组合为自身与所述waf之间的目标通信网段组合。
16.优选的，所述负载与所述waf之间的通信线路遵从的传输协议为sctp通信协议。
17.优选的，从各所述可选通信网段组合中确定出一个最优通信网段组合，包括：
18.调用sctp通信协议下的择优线路选择组件，从各所述可选通信网段组合中确定出一个最优通信网段组合。
19.优选的，所述预存可用网段的更新步骤，包括：
20.周期性地基于所述预设网段检测策略，对所述预存可用网段及预存不可用网段均进行网络检测，以更新所述预存可用网段。
21.优选的，所述基于所述预设网段检测策略，对所述预存可用网段及预存不可用网段均进行网络检测，包括：
22.针对任一个备选网段，执行如下步骤，其中，所述备选网段为所述预存可用网段或预存不可用网段中的一个：
23.调用探测接口组件向所述waf发送探测报文，其中，所述waf处于所述备选网段；
24.判断是否接收到所述waf发送的报文回包；
25.若接收到所述报文回包，判断所述报文回包是否为异常报文回包；
26.若是所述异常报文回包，确定所述备选网段为当前不可用网段；
27.若不是所述异常报文回包，确定所述备选网段为当前可用网段。
28.优选的，所述预存可用网段以集合形式进行存储；
29.确定所述备选网段为当前不可用网段之后，还包括：
30.判断所述备选网段是否在所述预存可用网段中；
31.若是，调用元素增删组件，将所述备选网段从所述预存可用网段中移除，以更新所述预存可用网段。
32.优选的，还包括：
33.判断所述预存不可用网段中是否存在累计空闲时间大于预设时间阈值的目标不可用网段；
34.若是，调用所述探测接口组件向所述waf发送探测报文，所述waf处于所述目标不可用网段；
35.进入判断是否接收到所述waf发送的报文回包的步骤。
36.为解决上述技术问题，本发明还提供了一种waf与负载的通信系统，应用于负载，所述waf与负载的通信系统包括：
37.第一确定单元，用于接收到访问请求时，基于预存可用网段确定自身与waf之间的目标通信网段组合，以建立自身与所述waf之间的通信线路，所述预存可用网段中包括多个当前可用网段且各所述当前可用网段均为基于预设网段检测策略更新确定；
38.判断单元，用于在确定所述预存可用网段更新时，判断所述目标通信网段组合中的目标网段是否在更新后的预存可用网段中；若否，触发更新确定单元；
39.所述更新确定单元，用于基于所述更新后的预存可用网段重新确定自身与所述waf之间的新的目标通信网段组合。
40.为解决上述技术问题，本发明还提供了一种waf与负载的通信装置，包括：
41.存储器，用于存储计算机程序；
42.处理器，用于执行所述计算机程序时实现如上述所述的waf与负载的通信方法的步骤。
43.本技术提供了一种waf与负载的通信方法、系统及装置，设置预设网段检测策略并据此更新确定多个当前可用网段并存储在预存可用网段中，于是在接收到访问请求时，基于预存可用网段确定自身与waf之间目标通信网段组合，以建立自身与所述waf之间的通信线路，而在某一网段波动时，对应的预存可用网段将更新，进而在确定所述预存可用网段更新时，判断目标通信网段组合中的目标网段是否在更新后的预存可用网段中；若否，基于更新后的预存可用网段重新确定自身与所述waf之间的新的目标通信网段组合。可见，本技术设置预设网段检测策略对于当前可用网段的主动检测，且当前可用网段为多个以保证可用性，使得遵照本技术给出的逻辑可以迅速的切换目标通信网段组合，保证了负载与waf之间的可靠通信连接，减少了对于自身业务工作上的影响以使不会因网络故障而空闲，也避免了因一个网段的网络波动，影响到其他waf的业务工作。
附图说明
44.为了更清楚地说明本发明实施例中的技术方案，下面将对现有技术和实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
45.图1为本发明提供的一种waf与负载的通信方法的流程图；
46.图2为本发明提供的一种waf与负载的通信系统的结构示意图；
47.图3为本发明提供的一种waf与负载的通信装置的结构示意图。
具体实施方式
48.本发明的核心是提供一种waf与负载的通信方法、系统及装置，可以迅速的切换目标通信网段组合，保证了负载与waf之间的可靠通信连接，减少了对于自身业务工作上的影响以使不会因网络故障而空闲，也避免了因一个网段的网络波动，影响到其他waf的业务工作。
49.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
50.请参照图1，图1为本发明提供的一种waf与负载的通信方法的流程图。
51.本实施例中，考虑到现有技术中针对负载(需要说明的是，本技术中所述的负载均指的是用于分配访问请求的负载均衡服务器)与waf之间的建联通信，采取的方式要么为直接将多台waf与该负载均配置于同一个网段，但是一旦该网段的网络出现波动，多台waf均
不可用，影响业务工作；要么为依靠tcp技术，以两台waf为例，将负载配置于网段1，waf1配置于网段2实现建联(即两者只能建立网段1-网段2的连接线路)，waf2配置于网段3(即两者只能建立网段1-网段3的连接线路)，于是一旦网段2出现网络波动，负载将会把原本应由waf1承担的业务工作转发给waf2处理，导致waf2处理的业务工作数量增加，且还可能遇到带宽限制以及waf性能达到上限等其他问题，waf整体工作性能下降。为解决上述技术问题，本技术提供了一种waf与负载的通信方法，保证了负载与waf之间的可靠通信。
52.该waf与负载的通信方法，应用于负载，该waf与负载的通信方法，包括：
53.s11：接收到访问请求时，基于预存可用网段确定自身与waf之间的目标通信网段组合，以建立自身与waf之间的通信线路，预存可用网段中包括多个当前可用网段且各当前可用网段均为基于预设网段检测策略更新确定；
54.需要说明的是，预先设置有预存可用网段，该预存可用网段中包括多个当前可用网段，且设置预设网段检测策略，用于更新确定出上述所述的各当前可用网段，具体方式可以为周期性地进行更新确定，且这里的更新周期可以根据实际需求设置成一个较小的数值，以保证可用网段确定的实时性。可以理解的是，所述通信线路建立完成后，负载可以将该访问请求发送至waf进行安全性判定这一业务工作。
55.此外，所述目标通信网段组合具体构成为：负载对应的网段-waf对应的网段，结合应用实际可知，负载对应的网段的设置一定的特殊性，即需要与发送访问请求的端口进行流量映射，因此，负载对应的网段具体可以为某一固定网段(该固定网段的网络相对稳定许多，通常不是公网)，当然也可以根据实际需要同样基于预存可用网段进行选取配置，在此不作特别的限定；而waf对应的网段选自预存可用网段。
56.s12：在确定预存可用网段更新时，判断目标通信网段组合中的目标网段是否在更新后的预存可用网段中；若否，进入s13；
57.需要说明的是，若某一个网段由当前可用网段更新为当前不可用网段，则其会被从预存可用网段中删除，这一删除动作即意味着预存可用网段进行了更新，进而，在确定所述预存可用网段更新时，判断目标通信网段组合中的目标网段是否在更新后的预存可用网段，可以理解的是，对应于上述实施例，目标通信网段组合具体构成为：负载对应的网段-waf对应的网段，于是若负载使用的是某一固定网段，则这里的目标网段指的为选取的waf对应的网段。
58.s13：基于更新后的预存可用网段重新确定自身与waf之间的新的目标通信网段组合。
59.需要说明的是，若目标网段不在该更新后的预存可用网段中，则依照s13步骤重新确定新的目标通信网段组合即可。
60.此外，该负载具体可以对应于多台waf，于是各台waf之间的建联通信均可以遵循上述所述的waf与负载的通信方法。
61.综上，本技术提供了一种waf与负载的通信方法，设置预设网段检测策略并据此更新确定多个当前可用网段并存储在预存可用网段中，于是在接收到访问请求时，基于预存可用网段确定自身与waf之间目标通信网段组合，以建立自身与所述waf之间的通信线路，而在某一网段波动时，对应的预存可用网段将更新，进而在确定所述预存可用网段更新时，判断目标通信网段组合中的目标网段是否在更新后的预存可用网段中；若否，基于更新后
的预存可用网段重新确定自身与所述waf之间的新的目标通信网段组合。可见，本技术设置预设网段检测策略对于当前可用网段的主动检测，且当前可用网段为多个以保证可用性，使得遵照本技术给出的逻辑可以迅速的切换目标通信网段组合，保证了负载与waf之间的可靠通信连接，减少了对于自身业务工作上的影响以使不会因网络故障而空闲，也避免了因一个网段的网络波动，影响到其他waf的业务工作，保证了多台waf整体的工作性能。
62.在上述实施例的基础上：
63.作为一种优选的实施例，基于预存可用网段确定自身与waf之间的目标通信网段组合，包括：
64.基于预存可用网段确定自身与waf之间所有的可选通信网段组合；
65.从各可选通信网段组合中确定出一个最优通信网段组合；
66.确定最优通信网段组合为自身与waf之间的目标通信网段组合。
67.本实施例中，发明人进一步考虑到由于预存可用网段中包括多个当前可用网段，因此负载与waf之间可以建立的通信网段组合具体可以有多种，因此可以从中选取最优的一种通信网段组合，以保证更高效的数据传输。
68.具体的，可以基于预存可用网段确定出该负载与waf之间所有的可选通信网段组合，进而从中选取、确定一个最优通信网段组合，选取确定的标准可以为是否经过网关及路由器(如同一个网段内的设备间通信则不需要经过网关)，数据传输效率是否更高等等，在此不作特别的限定，根据实际需求设定即可。最终，确定最优通信网段组合为所述目标通信网段组合。
69.作为一种优选的实施例，负载与waf之间的通信线路遵从的传输协议为sctp通信协议。
70.本实施例中，考虑到sctp(stream control transmission protocol，流控制传输协议)在tcp/ip协议栈中所处的位置跟tcp、udp类似，兼有tcp/udp两者特性。因此，本技术中的通信线路的建立可以为依靠该sctp通信协议建立。
71.作为一种优选的实施例，从各可选通信网段组合中确定出一个最优通信网段组合，包括：
72.调用sctp通信协议下的择优线路选择组件，从各可选通信网段组合中确定出一个最优通信网段组合。
73.本实施例中，可以基于sctp通信协议下的择优线路选择组件实现最优通信网段组合的确定，具体的该择优线路选择组件可以为heartbeat组件。
74.作为一种优选的实施例，预存可用网段的更新步骤，包括：：
75.周期性地基于预设网段检测策略，对预存可用网段及预存不可用网段均进行网络检测，以更新预存可用网段。
76.本实施例中，给出了对于预存可用网段的更新可以周期性的循环进行，且为了更好地保证预存可用网段更新的实时性，对应的更新周期可以设置的尽量小一些，在此不作特别的限定，根据实际需求设定即可。
77.作为一种优选的实施例，基于预设网段检测策略，对预存可用网段及预存不可用网段均进行网络检测，包括：
78.针对任一个备选网段，执行如下步骤，其中，备选网段为预存可用网段或预存不可
用网段中的一个：
79.调用探测接口组件向waf发送探测报文，其中，waf处于备选网段；
80.判断是否接收到waf发送的报文回包；
81.若接收到报文回包，判断报文回包是否为异常报文回包；
82.若是异常报文回包，确定备选网段为当前不可用网段；
83.若不是异常报文回包，确定备选网段为当前可用网段。
84.本实施例中，给出了进行网络检测的方式，具体来说，原始网段集合被分为两部分，一部分作为预存可用网段进行存储，一部分作为预存不可用网段进行存储，网络检测时要保证检测完整性，因此，备选网段具体为预存可用网段或预存不可用网段中的一个。
85.预先设置好了探测接口组件，waf处于所述备选网段，调用探测接口组件向所述waf发送探测报文以进行回包检验，判断是否接收到所述waf发送的报文回包；
86.若未接收到所述报文回包，则说明当前该网段很可能存在问题，如网络拥堵等，因此可确定该备选网段为当前不可用网段，进而存储在预存不可用网段中；
87.若接收到所述报文回包，进一步判断所述报文回包是否为异常报文回包；若是所述异常报文回包，确定所述备选网段为当前不可用网段；若不是所述异常报文回包，确定所述备选网段为当前可用网段。
88.可以理解的是，在第一次确定备选网段为当前不可用网段时，可以继续调用探测接口组件发送预设次数的探测报文，以保证确定结果的准确性，在此不作特别的限定。
89.可见，通过上述方式简单可靠地实现了网络检测，保证了预存可用网段的更新。
90.作为一种优选的实施例，预存可用网段以集合形式进行存储；
91.确定备选网段为当前不可用网段之后，还包括：
92.判断备选网段是否在预存可用网段中；
93.若是，调用元素增删组件，将备选网段从预存可用网段中移除，以更新预存可用网段。
94.本实施例中，给出了在确定备选网段为当前不可用网段之后，进行预存可用网段的更新的具体步骤，即判断所述备选网段是否在所述预存可用网段中，若是，则调用元素增删组件，将备选网段从所述预存可用网段中移除，以更新所述预存可用网段；当然，在确定备选网段为当前可用网段之后，还可以判断所述备选网段是否在所述预存可用网段中，若否，则调用元素增删组件，将所述备选网段添加至所述预存可用网段中，以更新该预存可用网段。
95.还需要说明的是，该元素增删组件具体可以为sctp通信协议下的sctp_bindx组件，可以简单可靠地实现集合中元素的增加和删除。
96.作为一种优选的实施例，还包括：
97.判断预存不可用网段中是否存在累计空闲时间大于预设时间阈值的目标不可用网段；
98.若是，调用探测接口组件向waf发送探测报文，waf处于目标不可用网段；
99.进入判断是否接收到waf发送的报文回包的步骤。
100.本实施例中，进一步考虑到由于是周期性地进行网络检测，存在某一个目标不可用网段在一段时间内均不可用，且其累计空闲时间(即存储于该预存不可用网段中的累计
时间)已经很久但还未达到上述所述的更新周期的情况，为了更快速地知晓该目标不可用网段是否已经恢复正常，因此进一步给出一种主动检测更新的方式。
101.具体来说，判断预存不可用网段中是否存在累计空闲时间大于预设时间阈值的目标不可用网段，目标不可用网段具体可以为预存不可用网段中的一个或多个。
102.若是，waf处于所述目标不可用网段，调用所述探测接口组件向waf发送探测报文，进而进入判断是否接收到所述waf发送的报文回包的步骤以实现不可用网段的主动检测更新。
103.可以理解的是，这里的预设时间阈值的具体数值根据实际需求设置即可，在此不作特别的限定。
104.请参照图2，图2为本发明提供的一种waf与负载的通信系统的结构示意图。
105.该waf与负载的通信系统，应用于负载，该waf与负载的通信系统包括：
106.第一确定单元21，用于接收到访问请求时，基于预存可用网段确定自身与waf之间的目标通信网段组合，以建立自身与waf之间的通信线路，预存可用网段中包括多个当前可用网段且各当前可用网段均为基于预设网段检测策略更新确定；
107.判断单元22，用于在确定预存可用网段更新时，判断目标通信网段组合中的目标网段是否在更新后的预存可用网段中；若否，触发更新确定单元23；
108.更新确定单元23，用于基于更新后的预存可用网段重新确定自身与waf之间的新的目标通信网段组合。
109.对于本发明中提供的waf与负载的通信系统的介绍请参照上述waf与负载的通信方法的实施例，此处不再赘述。
110.作为一种优选的实施例，所述第一确定单元21，包括：
111.可选通信网段组合确定单元，用于基于所述预存可用网段确定自身与所述waf之间所有的可选通信网段组合；
112.选择确定单元，用于从各所述可选通信网段组合中确定出一个最优通信网段组合；
113.目标通信网段组合确定单元，用于确定所述最优通信网段组合为自身与所述waf之间的目标通信网段组合。
114.作为一种优选的实施例，所述选择确定单元，具体包括：
115.第一调用单元，用于调用sctp通信协议下的择优线路选择组件，从各所述可选通信网段组合中确定出一个最优通信网段组合。
116.作为一种优选的实施例，所述waf与负载的通信系统包括第一更新单元；
117.所述第一更新单元，用于周期性地基于所述预设网段检测策略，对所述预存可用网段及预存不可用网段均进行网络检测，以更新所述预存可用网段。
118.作为一种优选的实施例，所述第一更新单元，包括：
119.第二调用单元，用于针对任一个备选网段，调用探测接口组件向所述waf发送探测报文，其中，所述waf处于所述备选网段，其中，所述备选网段为所述预存可用网段或预存不可用网段中的一个；
120.接收判断单元，用于判断是否接收到所述waf发送的报文回包；若接收到所述报文回包，触发异常判断单元；
121.所述异常判断单元，用于判断所述报文回包是否为异常报文回包；若是所述异常报文回包，触发第二确定单元；若不是所述异常报文回包，触发第三确定单元；
122.所述第二确定单元，用于确定所述备选网段为当前不可用网段；
123.所述第三确定单元，用于确定所述备选网段为当前可用网段。
124.作为一种优选的实施例，所述预存可用网段以集合形式进行存储；
125.所述waf与负载的通信系统，还包括：
126.增删判断单元，用于在所述第二确定单元之后，判断所述备选网段是否在所述预存可用网段中；若是，触发第二调用单元；
127.所述第二调用单元，用于调用元素增删组件，将所述备选网段从所述预存可用网段中移除，以更新所述预存可用网段。
128.作为一种优选的实施例，所述waf与负载的通信系统，还包括：
129.累计判断单元，用于判断所述预存不可用网段中是否存在累计空闲时间大于预设时间阈值的目标不可用网段；若是，触发第三调用单元；
130.所述第三调用单元，用于调用所述探测接口组件向所述waf发送探测报文，所述waf处于所述目标不可用网段；
131.进入单元，用于进入判断是否接收到所述waf发送的报文回包的步骤。
132.请参照图3，图3为本发明提供的一种waf与负载的通信装置的结构示意图。
133.该waf与负载的通信装置，包括：
134.存储器31，用于存储计算机程序；
135.处理器32，用于执行所述计算机程序时实现如上述所述的waf与负载的通信方法的步骤。
136.对于本发明中提供的waf与负载的通信装置的介绍请参照上述waf与负载的通信方法的实施例，此处不再赘述。
137.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
138.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其他实施例中实现。因此，本发明将不会被限制
于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。