一种WAF部署系统、方法、设备及介质与流程

本发明涉及网络安全，尤其涉及一种waf部署系统、方法、设备及介质。

背景技术：

1、目前，waf设备（web应用防护系统，web application firewall，简称：waf）在用户场景一般为三层部署，即将waf设备直接串联到用户的网络中，这种传统的部署模式将会改变用户的组网环境，使得用户的网络变得更加复杂，维护起来更加困难。

技术实现思路

1、本发明提供一种waf部署系统、方法、设备及介质，用以解决上述问题。

2、本发明提供一种waf部署系统，包括至少两台waf设备、第一交换机以及第二交换机；

3、其中，所述waf设备包括第一网口、第二网口以及第三网口，所述第一网口与第一交换机的一端连接，所述第二网口与第二交换机的一端连接，所述第一交换机的另一端与客户机连接，所述第二交换机的另一端与服务器连接；

4、在所述waf设备的数量为两台的情况下，两台所述waf设备之间通过所述第三网口连接；

5、在所述waf设备的数量超过两台的情况下，系统还包括第三交换机，每一所述waf设备通过所述第三网口与所述第三交换机连接；

6、在所述客户机将数据请求发送至所述服务器的过程中，通过预设在所述第一网口中的数据辨识算法确定流经第一网口的数据请求所对应的waf设备，并作为请求waf设备；

7、在所述服务器将响应数据发送至所述客户机的过程中，通过预设在所述第二网口中的所述数据辨识算法确定流经第二网口的响应数据所对应的waf设备，并作为响应waf设备；

8、其中，所述请求waf设备与所述响应waf设备为同一waf设备。

9、根据本发明提供的一种waf部署系统，所述在所述客户机将数据请求发送至所述服务器的过程中，通过预设在所述第一网口中的数据辨识算法确定流经第一网口的数据请求所对应的waf设备，并作为请求waf设备，包括：

10、根据所述数据请求中的源ip地址信息、目的ip地址信息、源端口信息、目的端口信息以及协议号信息进行哈希值计算，根据计算得到的第一哈希值确定请求waf设备；

11、相应地，所述在所述服务器将响应数据发送至所述客户机的过程中，通过预设在所述第二网口中的所述数据辨识算法确定流经第二网口的响应数据所对应的waf设备，并作为响应waf设备，包括：

12、根据所述响应数据中的源ip地址信息、目的ip地址信息、源端口信息、目的端口信息以及协议号信息进行哈希值计算，根据计算得到的第二哈希值确定响应waf设备。

13、根据本发明提供的一种waf部署系统，所述数据请求经过所述第一交换机随机分配至所述至少两台waf设备中一台waf设备的第一网口处，其中，经过所述第一交换机随机分配的waf设备为第一随机waf设备；

14、在第一随机waf设备与所述请求waf设备不相同且所述waf设备的数量为两台的情况下，通过所述第一随机waf设备的所述第一网口将所述数据请求转发至所述请求waf设备的第三网口；

15、在第一随机waf设备与所述请求waf设备不相同且所述waf设备的数量超过两台的情况下，通过所述第一随机waf设备的所述第一网口将所述数据请求通过所述第三交换机转发至每一waf设备的第三网口处，通过预设在所述每一waf设备的第三网口处的所述数据辨识算法确定请求waf设备的第三网口；

16、所述请求waf设备的第三网口将所述数据请求输入至所述请求waf设备中进行处理，所述第二网口将处理后的数据请求发送至所述第二交换机，所述第二交换机将所述处理后的数据请求发送至所述服务器。

17、根据本发明提供的一种waf部署系统，所述响应数据经过所述第二交换机随机分配至所述至少两台waf设备中一台waf设备的第二网口处，其中，经过所述第二交换机随机分配的waf设备为第二随机waf设备；

18、在第二随机waf设备与所述响应waf设备不相同且所述waf设备的数量为两台的情况下，通过所述第二随机waf设备的所述第二网口将所述响应数据转发至所述响应waf设备的第三网口；

19、在第二随机waf设备与所述响应waf设备不相同且所述waf设备的数量超过两台的情况下，通过所述第二随机waf设备的所述第二网口将所述响应数据通过所述第三交换机转发至每一waf设备的第三网口处，通过预设在所述每一waf设备的第三网口处的所述数据辨识算法确定响应waf设备的第三网口；

20、所述响应waf设备的第三网口将所述响应数据输入至所述响应waf设备中进行处理，所述第一网口将处理后的响应数据发送至所述第一交换机，所述第一交换机将所述处理后的响应数据发送至所述客户机。

21、本发明还提供一种基于上述的waf部署系统所实现的waf部署方法，包括：

22、获取由客户机发送的数据请求；

23、利用预设在waf设备上的数据辨识算法从至少两台waf设备中确定所述数据请求对应的请求waf设备，并通过waf设备的第三网口将所述数据请求转发至所述请求waf设备中进行处理，获得处理后的数据请求，将所述处理后的数据请求发送至所述服务器；

24、获取由服务器发送的响应数据，所述响应数据为所述服务器响应于所述处理后的数据请求的数据；

25、通过所述数据辨识算法从所述至少两台waf设备中确定所述响应数据对应的响应waf设备，并通过waf设备的第三网口将所述响应数据转发至所述响应waf设备中进行处理，获得处理后的响应数据，将所述处理后的响应数据发送至所述客户机；

26、其中，所述请求waf设备与所述响应waf设备为同一waf设备。

27、根据本发明提供的一种waf部署方法，所述获取由客户机发送的数据请求，包括：

28、通过第一交换机中预设的负载均衡算法将客户机发送的数据请求随机分配至所述至少两台waf设备中的一台waf设备的第一网口处，其中，经过所述第一交换机随机分配的waf设备为第一随机waf设备；

29、相应地，所述通过waf设备的第三网口将所述数据请求转发至所述请求waf设备中进行处理，获得处理后的数据请求，将所述处理后的数据请求发送至所述服务器，包括：

30、在第一随机waf设备与所述请求waf设备不相同且所述waf设备的数量为两台的情况下，通过所述第一随机waf设备的所述第一网口将所述数据请求转发至所述请求waf设备的第三网口；

31、在第一随机waf设备与所述请求waf设备不相同且所述waf设备的数量超过两台的情况下，通过所述第一随机waf设备的所述第一网口将所述数据请求通过所述第三交换机转发至每一waf设备的第三网口处，通过预设在所述每一waf设备的第三网口处的所述数据辨识算法确定请求waf设备的第三网口；

32、所述请求waf设备的第三网口将所述数据请求输入至所述请求waf设备中进行处理，所述第二网口将处理后的数据请求发送至所述第二交换机，所述第二交换机将所述处理后的数据请求发送至所述服务器。

33、根据本发明提供的一种waf部署方法，所述获取由服务器发送的响应数据，包括：

34、通过第二交换机中预设的负载均衡算法将服务器发送的响应数据随机分配至所述至少两台waf设备中的一台waf设备的第二网口处，其中，经过所述第二交换机随机分配的waf设备为第二随机waf设备；

35、相应地，所述通过waf设备的第三网口将所述响应数据转发至所述响应waf设备中进行处理，获得处理后的响应数据，将所述处理后的响应数据发送至所述客户机，包括：

36、在第二随机waf设备与所述响应waf设备不相同且所述waf设备的数量为两台的情况下，通过所述第二随机waf设备的所述第二网口将所述响应数据转发至所述响应waf设备的第三网口；

37、在第二随机waf设备与所述响应waf设备不相同且所述waf设备的数量超过两台的情况下，通过所述第二随机waf设备的所述第二网口将所述响应数据通过所述第三交换机转发至每一waf设备的第三网口处，通过预设在所述每一waf设备的第三网口处的所述数据辨识算法确定响应waf设备的第三网口；

38、所述响应waf设备的第三网口将所述响应数据输入至所述响应waf设备中进行处理，所述第一网口将处理后的响应数据发送至所述第一交换机，所述第一交换机将所述处理后的响应数据发送至所述客户机。

39、根据本发明提供的一种waf部署方法，所述数据请求或所述响应数据中至少包括源ip地址信息、目的ip地址信息、源端口信息、目的端口信息以及协议号信息；

40、相应地，所述数据辨识算法包括：

41、分别将所述源ip地址信息与所述目的ip地址信息转换成64位无符号整型数，对应获得源ip地址整型数与目的ip地址整型数；

42、在所述目的端口信息的基础上乘以216，获得左移后的目的端口信息；

43、对所述源ip地址整型数与目的ip地址整型数进行异或运算，获得第一计算值；

44、对所述第一计算值与所述协议号信息进行异或运算，获得第二计算值；

45、对所述左移后的目的端口信息与源端口信息进行或运算，获得第三计算值；

46、在所述第三计算值的基础上除以212，获得右移后的第三计算值，并对右移后的第三计算值与所述第一计算值进行异或运算，获得新的第一计算值；

47、在所述新的第一计算值的基础上乘以218获得左移后的第一计算值，并对所述左移后的第一计算值与所述第二计算值进行异或运算，从而获得新的第二计算值；

48、在所述新的第二计算值的基础上除以222获得右移后的第二计算值，并对所述右移后的第二计算值与所述第三计算值进行异或运算，获得新的第三计算值；

49、计算所述新的第一计算值、新的第二计算值以及新的第三计算值之间的和，并对计算得到的和与waf设备的数量进行模除，获得模除结果，所述模除结果用于从所述至少两台waf设备中确定请求waf设备或响应waf设备。

50、本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述waf部署方法。

51、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述waf部署方法。

52、本发明提供的waf部署系统、方法、设备及介质，通过透明部署在第一交换机与第二交换机之间的至少两台waf设备保证客户机与服务器之间数据往来的高可用性。另外，还通过将所有waf设备依次连接的第三网口对数据进行转发，从而不会改变数据，简化了部署后的组网环境，便于后续维护。