防止网络攻击Web服务器的处理方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及互联网领域,具体而言,涉及一种防止网络攻击Web服务器的处理方法、装置及系统。
【背景技术】
[0002]目前,各种组织的业务系统都是基于浏览器/服务器架构,作为提供业务系统支撑的Web服务器,受到的各种网络攻击日益增多。
[0003]例如,有一种网络攻击名为“挑战黑洞”(challenge collapsar,简称为CC),CC攻击利用代理的服务器向Web服务器通过三次握手后建立连接,发送HTTP请求某一个计算资源较大的URL,然后以不做任何ACK或FIN包回应。重复上述过程,不断消耗服务器资源,使服务器连接池和资源池耗尽,无法响应正常的用户请求,从而使业务系统瘫痪。
[0004]针对现有技术中网络攻击Web服务器,消耗Web服务器资源的问题,目前尚未提出有效的解决方案。
【发明内容】
[0005]本发明的主要目的在于提供一种防止网络攻击Web服务器的处理方法、装置及系统,以解决现有技术中网络攻击Web服务器,消耗Web服务器资源的问题。
[0006]为了实现上述目的,根据本发明的一个方面,提供了一种防止网络攻击Web服务器的处理方法。该方法包括:安全网关接收访问请求,其中,访问请求是客户端请求访问Web服务器的请求,访问请求包括客户端的标识信息;安全网关检测标识信息中是否包括有效的访问令牌,访问令牌用于验证客户端请求访问Web服务器的合法性;如果安全网关检测标识信息中包括有效的访问令牌,则允许客户端对Web服务器执行访问;以及如果安全网关检测标识信息中不包括有效的访问令牌,则拒绝客户端访问Web服务器。
[0007]进一步地,访问请求包括第一访问请求,第一访问请求标识信息中不包括有效的访问令牌,安全网关在判断出标识信息中不包括有效的访问令牌之后,该方法还包括:安全网关发送有效的访问令牌至客户端;安全网关检测是否接收到客户端发出的第二访问请求,其中,第二访问请求是客户端在接收到有效的访问令牌之后,再次请求访问Web服务器的请求;如果安全网关接收到客户端发出的第二访问请求,则允许客户端对Web服务器执行访问;以及如果安全网关没有接收到客户端发出的第二访问请求,则拒绝客户端访问Web服务器。
[0008]进一步地,安全网关发送有效的访问令牌至客户端包括:安全网关生成请求响应信息,其中,请求响应信息是安全网关根据接收到的第一访问请求生成的信息;安全网关生成有效的访问令牌;安全网关根据有效的访问令牌和请求响应信息生成请求响应包;以及安全网关发送请求响应包至客户端。
[0009]进一步地,安全网关检测标识信息中是否包括有效的访问令牌包括:检测标识信息中是否包括访问令牌;如果检测出标识信息中包括访问令牌,判断访问令牌是否符合预设的合法性条件;以及如果访问令牌符合预设的合法性条件,判断访问令牌是否超过预设时间;其中,如果判断出标识信息中访问令牌没有超过预设时间,则确定标识信息中访问令牌为有效的访问令牌,如果判断出标识信息中访问令牌不符合预设的合法性条件或标识信息中访问令牌超过预设时间,则确定标识信息中访问令牌不是有效的访问令牌。
[0010]进一步地,在安全网关接收访问请求之前,该方法还包括:安全网关接收握手信号,其中,握手信号为客户端向Web服务器发出建立连接的信号;安全网关转发握手信号至Web服务器;安全网关接收应答信号,其中,应答信号为Web服务器接收到握手信号后向客户端发出的信号;安全网关转发应答信号至客户端;安全网关接收响应信号,其中,响应信号为客户端接收到应答信号后向Web服务器返回的响应信号;以及安全网关转发响应信号至Web服务器。
[0011]进一步地,在安全网关发送有效的访问令牌至客户端之后,在安全网关检测是否接收到客户端发出的第二访问请求之前,该方法还包括:接收请求响应包;根据请求响应包关闭客户端与Web服务器之间建立的连接;解析请求响应包,其中,解析出的请求响应包包括标识信息和访问Web服务器的链接;以及根据标识信息和访问Web服务器的链接重新发出第二访问请求。
[0012]进一步地,如果安全网关检测标识信息中包括有效的访问令牌,则允许客户端对Web服务器执行访问包括:安全网关接收第二访问请求,其中,第二访问请求包括标识信息;安全网关检测标识信息中是否含有有效的访问令牌;以及如果标识信息中含有有效的访问令牌,安全网关转发第二访问请求至Web服务器对Web服务器进行访问。
[0013]为了实现上述目的,根据本发明的另一方面,提供了一种防止网络攻击Web服务器的处理装置。该装置包括:第一接收单元,用于接收访问请求,其中,访问请求是客户端请求访问Web服务器的请求,访问请求包括客户端的标识信息;第一检测单元,用于检测标识信息中是否包括有效的访问令牌,访问令牌用于验证客户端请求访问Web服务器的合法性;第一访问单元,用于在检测标识信息中包括有效的访问令牌的情况下,则允许客户端对Web服务器执行访问;以及第一处理单元,用于在检测标识信息中不包括有效的访问令牌的情况下,则拒绝客户端访问Web服务器。
[0014]进一步地,访问请求包括第一访问请求,第一访问请求标识信息中不包括有效的访问令牌,该装置还包括:发送单元,用于发送有效的访问令牌至客户端;第二检测单元,用于检测是否接收到客户端发出的第二访问请求,其中,第二访问请求是客户端在接收到有效的访问令牌之后,再次请求访问Web服务器的请求;第二访问单元,用于在接收到客户端发出的第二访问请求的情况下,则允许客户端对Web服务器执行访问;以及第二处理单元,用于在没有接收到客户端发出的第二访问请求的情况下,则拒绝客户端访问Web服务器。
[0015]进一步地,发送单元包括:第一生成模块,用于生成请求响应信息,其中,请求响应信息是根据接收到的第一访问请求生成的信息;第二生成模块,用于生成有效的访问令牌;第三生成模块,用于根据有效的访问令牌和请求响应信息生成请求响应包;以及发送模块,用于发送请求响应包至客户端。
[0016]进一步地,该装置还包括:第二接收单元,用于接收握手信号,其中,握手信号为客户端向Web服务器发出建立连接的信号;第一转发单元,用于转发握手信号至Web服务器;第三接收单元,用于接收应答信号,其中,应答信号为Web服务器接收到握手信号后向客户端发出的信号;第二转发单元,用于转发应答信号至客户端;第四接收单元,用于接收响应信号,其中,响应信号为客户端接收到应答信号后向Web服务器返回的响应信号;以及第三转发单元,用于转发响应信号至Web服务器。
[0017]进一步地,第一访问单元包括:接收模块,用于接收第二访问请求,其中,第二访问请求包括标识信息;检测模块,用于检测标识信息中是否含有有效的访问令牌;以及访问模块,用于如果标识信息中含有有效的访问令牌,转发第二访问请求至Web服务器对Web服务器进行访问。
[0018]为了实现上述目的,根据本发明的另一方面,提供了一种防止网络攻击WEB服务器的处理系统。该系统包括:客户端;安全网关;以及Web服务器;其中,安全网关接收访问请求,安全网关检测标识信息中是否包括有效的访问令牌,如果安全网关检测标识信息中包括有效的访问令牌,则允许客户端对Web服务器执行访问,以及如果安全网关检测标识信息中不包括有效的访问令牌,则拒绝客户端访问Web服务器,其中,访问请求是客户端请求访问Web服务器的请求,访问请求包括客户端的标识信息,访问令牌用于验证客户端请求访问Web服务器的合法性。
[0019]在本发明中,安全网关检测接收到的访问请求中的标识信息是否包括有效的访问令牌,如果安全网关检测到该标识信息中包括有效的访问令牌,则允许客户端对Web服务器执行访问;如果安全网关检测到该标识信息中不包括有效的访问令牌,则拒绝客户端访问Web服务器。通过本发明,解决了现有技术中网络攻击Web服务器,消耗Web服务器资源的问题,进而达到有效的防范网络攻击Web服务器,保证Web服务器的正常运行的效果。
【附图说明】
[0020]构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0021]图1是根据本发明实施例的防止网络攻击Web服务器的处理系统的示意图;