本发明属于计算机,具体涉及基于openresty对异常流量识别并联动iptables进行ip封阻的方法与系统。
背景技术:
::1、目前在网站系统防御方面,主要有两种方案,一种是系统层依靠iptables防火墙进行防护,iptables是一个用于配置linux系统网络包过滤规则的工具,它是linux内核中的一个子系统,主要用于实现网络层和传输层的防火墙功能。它可以检查传入和传出的网络数据包,并根据预定义的规则集来决定是否允许或阻止这些数据包的传输。比如基于源ip地址、目标ip地址、端口号、协议类型等条件进行匹配和过滤,通过提供灵活而强大的网络包过滤和防火墙功能,帮助保护linux系统免受恶意网络攻击和不必要的访问。在iptables中,"input"和"prerouting"是两个不同的表(table)和链(chain)的名称,用于定义网络数据包在不同阶段的处理规则。2、还有一种是web应用层基于openresty实现的waf(web应用防火墙)系统进行防护,依赖lua编写相关的规则进行拦截,如检测到异常后返回403、404等异常状态码。openresty是一款高性能web应用,基于标准的nginx核心,可以扩展很多第三方模块,web开发人员可以使用lua编程语言,对核心以及各种c模块进行编程。简单理解,就是相当于封装了nginx并集成了lua脚本的web应用平台。waf是一种用于保护网站和web应用程序免受恶意攻击的安全工具,通过监控和过滤对web应用程序的所有传入和传出的http流量,以便检测和阻止各种类型的攻击,包括sql注入、跨站脚本(xss)、跨站请求伪造(csrf)等。3、两种方案都是为了保证整个业务系统安全,但是现有技术是两种方案各司其职,不会有规则的联动以及交互。针对客户端不断地恶意扫描、嗅探web系统漏洞,openresty会对请求方式、请求体等进行分析后识别到其恶意动作进行拦截,返回如403等异常状态码,但是iptables由于其工作特性,无法精确识别恶意流量而继续放行,使其极有可能在多次尝试后绕过waf规则而进行下一步破坏,这样就出现了防御空缺。技术实现思路1、为了克服现有技术的不足,解决现有网络系统防御中openresty和iptables无联动、防御性能差等技术问题,本发明提供基于openresty对异常流量识别并联动iptables进行ip封阻的系统。2、本发明通过以下技术方案予以实现。3、本发明提供了基于openresty对异常流量识别并联动iptables进行ip封阻的系统,包括openresty waf模块、waf规则模块、异常流量记录模块、联动封阻判定模块、记录与通知模块和审计模块;4、所述openresty waf模块用于在openresty的配置文件中添加相关的waf配置;所述waf规则模块用于规则匹配和拦截恶意请求;所述异常流量记录模块用于恶意请求触发waf规则时通过redis来记录和存储安全事件和攻击信息;所述联动封阻判定模块用于判断是否触发联动封阻判定规则并进行封堵操作;所述记录与通知模块用于记录日志待审计并通知网络、安全负责人;所述审计模块用于对已拦截的请求进行人工审计、识别。5、进一步,所述waf配置包括指定waflua脚本的路径、指定waf的初始化脚本和指定waf的访问控制脚本。6、进一步,所述waf规则模块的规则包括sql注入检测规则、xss检测规则、命令注入检测规则、文件包含检测规则和http协议违规检测规则;所述sql注入检测规则通过检查请求参数中是否包含sql语句关键字或分号或引号来识别sql注入攻击;所述xss检测规则通过检查请求参数中是否包含html或javascript代码或尖括号或引号来识别xss注入攻击;所述命令注入检测规则通过检查请求参数中是否包含系统命令执行关键字或字符来识别命令注入攻击;所述文件包含检测规则通过检查请求参数中是否包含文件路径相关关键字或字符来识别文件包含攻击;所述http协议违规检测规则通过检查请求头、请求方法、http版本是否符合规范来识别恶意请求或协议违规行为。7、进一步,所述联动封阻判定模块在对waf拦截的基础上进行二次过滤,符合联动封阻特征的将ip封阻;所述联动封阻判定模块按照联动规则通过iptables配置接口在input或prerouting链进行drop操作;所述联动规则按照基础规则优先级来判断;所述基础规则包括请求参数异常包含sql或exe或sh关键字、请求时间段介于00:00-6:00、请求ip地址在地址库中匹配到国外ip地址、请求次数高于同一请求1秒5次、请求客户端类型匹配到robot或spider或curl非正常浏览器客户端;所述基础规则优先级为一个或多个基础规则同时满足时,ip地址来源为最高,如果ip地址匹配异常便进行联动封堵,不再判断其他规则;若ip地址匹配无异常则按按照请求客户端、请求方式、请求参数、请求次数、请求时间段依次进行适配,有命中即进行ip封阻操作。8、进一步,所述联动规则还包括waf识别到sql注入检测,直接触发联动封阻、请求时间段或客户端ip地址异常直接将其访问阻断并列入审计系统待甄别、客户端类型异常直接触发联动封阻规则。9、进一步,基于openresty对异常流量识别并联动iptables进行ip封阻的方法,包括以下步骤:10、1)用户流量通过iptables四层防火墙进入iptables判断,若判断正常则通过openrestywaf七层防火墙,若判断异常不通过则记录到拦截日志和审计系统进行审计;11、2)通过openresty waf七层防火墙的用户流量进入openrestywaf判断,若判断正常通过则开始业务操作,若判断异常不通过则记录到拦截日志并发布到redis,联动封阻判定模块实时订阅redis信息;12、3)联动封阻判定模块实时订阅redis信息后,再按照ip地址、请求客户端、请求方式、请求参数、请求次数、请求时间段进行基础规则优先级甄别,若判断异常后,调用iptables配置接口进行网络层封阻操作并记录到拦截日志和审计系统进行审计。13、本发明所达到的有益效果是:本发明提出了基于openresty对异常流量识别并联动iptables进行ip封阻的系统和方法,openresty与iptables联动,openresty通过lua脚本编写自定义的防护规则,对http请求进行深度检测和防护;而iptables是linux系统上的防火墙工具,可以对ip层面的数据包进行过滤和处理。通过将二者联动,可以实现综合的防护能力,既能对应用层的攻击进行防护,也能对网络层的攻击进行防护,避免单纯依赖一方造成防御空缺,具有较高的处理效率,通过将流量处理任务分担给openresty和iptables,可以提高整体的流量处理能力和响应速度,同时具有较好的兼容性和可扩展性,可以在现有的网络环境中进行部署和扩展,不需要大规模的系统改造和迁移;openresty和iptables都提供了灵活的配置选项和管理接口,可以根据实际需求进行自定义配置和管理,通过联动二者,可以根据具体情况调整防护规则、过滤规则等,灵活应对不同的攻击和流量情况;通过开源组件的结合实现了强大的四层、七层防火墙功能,减少服务器的负载和带宽消耗,从而节省服务器资源和带宽成本以及安全设备方面的成本,二者相结合还简化了系统架构和配置管理,减少维护工作量和人力成本,实现了更精细的请求过滤和转发策略,提高系统的响应速度和处理能力,从而提升用户体验和满意度,增加用户的留存率和转化率。14、与现有技术相比,本发明具有综合防护能力高、结合openresty与iptables联动、流量处理效率提升、降低人工维护成本等优点。当前第1页12当前第1页12