[0022]图2是根据本发明实施例的防止网络攻击Web服务器的处理系统中交互过程的流程图;
[0023]图3是根据本发明实施例的防止网络攻击Web服务器的处理方法的流程图;以及
[0024]图4是根据本发明实施例的防止网络攻击Web服务器的处理装置的示意图。
【具体实施方式】
[0025]需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
[0026]为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
[0027]需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0028]根据本发明的实施例,提供了一种防止网络攻击Web服务器的处理系统。
[0029]图1是根据本发明实施例的防止网络攻击Web服务器的处理系统的示意图。如图1所示,该系统包括:客户端100、安全网关200和Web服务器300。
[0030]安全网关200接收访问请求,安全网关200检测标识信息中是否包括有效的访问令牌,如果安全网关200检测标识信息中包括有效的访问令牌,则允许客户端100对Web服务器300执行访问;如果安全网关200检测标识信息中不包括有效的访问令牌,则拒绝客户端100访问Web服务器300,其中,访问请求是客户端100请求访问Web服务器300的请求,访问请求包括客户端100的标识信息,访问令牌用于验证客户端100请求访问Web服务器300的合法性。
[0031]通过检测安全网关200接收到的访问请求中的标识信息是否包括有效的访问令牌,来决定是否允许客户端100访问Web服务器300。从而有效的防范网络攻击Web服务器,保证Web服务器的正常运行的效果。
[0032]图2是根据本发明实施例的防止网络攻击Web服务器的处理系统中交互过程的流程图。具体地,如图2所示,包括步骤S201至步骤S213。
[0033]步骤S201,客户端100发送握手信号(由安全网关200直接转发)。
[0034]为了与Web服务器建立连接,客户端100发送握手信号。例如,客户端100发送SYN,其中,SYN(synchronous)是TCP/IP建立连接时使用的握手信号。由安全网关200直接转发SYN包至Web服务器300。
[0035]步骤S202,Web服务器300发送应答信号(由安全网关200直接转发)。
[0036]在Web服务器300接收到客户端100发送的握手信号之后,Web服务器300发送应答信号,由安全网关200直接转发应答信号至Web服务器300。
[0037]步骤S203,客户端100发送响应信号(由安全网关200直接转发)。
[0038]在客户端100接收到Web服务器300发送的应答信号之后,客户端100发送响应信号,由安全网关200直接转发响应信号至Web服务器300。从而客户端100与Web服务器300建立连接关系。
[0039]整个过程具体如下,SYN (synchronous)是TCP/IP建立连接时使用的握手信号。在客户端100和Web服务器300之间建立正常的TCP网络连接时,客户端100首先发出一个SYN消息,Web服务器300使用SYN+ACK应答表示接收到了这个消息,最后客户端100再以ACK消息响应。这样在客户端100和Web服务器300之间才能建立起可靠的TCP连接,数据才可以在客户端100和Web服务器300之间传递。
[0040]步骤S204,客户端100发送访问请求。
[0041]客户端100发送访问请求。具体地,正常和异常的访问都通过发送访问请求给Web服务器300。中间路过安全网关200。
[0042]步骤S205,安全网关200检测访问请求中标识信息里是否含有有效的访问令牌。
[0043]正常和异常的访问都通过发送访问请求给Web服务器300。中间路过安全网关200。安全网关200截获该访问请求,对其进行检查。安全网关200检测访问请求中标识信息里是否含有有效的访问令牌。需要说明的是,上述的标识信息,在本发明的实施例中为客户端本地站点的Cookie。S卩,安全网关200检测访问请求中Cookie里是否含有有效的访问令牌。例如,客户端存储的本地站点的Cookie的形式可以为BAIDHD = 6F42E7D88F4EF309B709DBAB1323D3BD ;BAIDUPSID = 4AC03124061673D77D35DC2BE3A3072A。
[0044]步骤S206,如果安全网关200检测出访问请求中标识信息里含有有效的访问令牌,允许客户端100对Web服务器300执行访问。
[0045]合法的访问请求包含安全网关200传递的有效访问令牌,安全网关200直接转发该访问请求,直接对Web服务器300执行访问。
[0046]步骤S207,Web服务器300发送响应消息(正常访问结束)。
[0047]安全网关200直接转发该访问请求,直接对Web服务器300执行访问之后,Web服务器300发送响应消息(正常访问结束)。
[0048]步骤S208,生成请求响应包。
[0049]异常的访问请求和正常的访问请求在第一次访问时不包含安全网关200传递的有效的访问令牌,因此,安全网关200生成请求响应包。具体地,安全网关200生成请求响应信息,其中,请求响应信息是安全网关200根据接收到的第一访问请求生成的信息,安全网关200生成有效的访问令牌,安全网关200根据有效的访问令牌和请求响应信息生成请求响应包。
[0050]步骤S209,发送请求响应包至客户端100。
[0051]在安全网关200生成请求响应包之后,安全网关200发送请求响应包至客户端100。
[0052]步骤S210,客户端100解析该请求响应包。
[0053]在客户端100接收到安全网关200发送的请求响应包之后,客户端100解析该请求响应包。
[0054]步骤S211,客户端100根据该请求响应包终止与Web服务器300之间的连接。
[0055]客户端100根据该请求响应包中指示,立即关闭客户端100与Web服务器300之间的连接。
[0056]步骤S212,客户端100根据该请求响应包从步骤S201开始重复执行上述步骤。
[0057]需要说明的是,上述的标识信息,在本发明的实施例中为客户端本地站点的Cookie?具体地,安全网关200生成访问令牌T,令牌T为32位随机数,此访问令牌在安全网关200中记录生成时间,并设定有效期X秒;X值可以根据网络负载情况进行调节;安全网关200伪造请求响应包,在本发明的实施例中即为HTTP 302响应包,在HTTP 302响应包的 Set-Cookie 字段中,放入访问令牌 T,形式如:Set-Cookie:GATEUSERID = 123456789 ;Max-Age = 30 ;path = / ;并在HTTP 302响应包中指示客户端立即关闭与Web服务器的连接;并在HTTP 302响应包中设定重新访问Web服务器的链接为前一次访问Web服务器的链接。从步骤S201开始重复执行上述步骤。即与Web服务器建立连接关系,安全网关200检测访问请求中标识信息里是否含有有效的访问令牌。
[0058]需要说明的是,例如,上述前一次访问Web服务器的链接为http://www.baidu.com,客户端100根据该请求响应包重新向http://www