本发明专利技术提出了一种透明反向代理模式下的IP地址还原方法及系统,包括:部署WAF防护系统;当WAF防护系统接收到来自客户端的服务器访问请求时,对目的IP地址进行目的地址转换,生成对应的内部使用地址;WAF防护系统以内部使用地址代理被请求的服务器接收来自客户端的访问请求,并检测访问请求中是否包括攻击行为;WAF防护系统将不包括攻击行为的访问请求对应的内部使用地址还原为目的IP地址,并将访问请求转发至目的IP地址对应的服务器。本发明专利技术实现WAF代理模式对网络环境以及业务服务器的透明,在网络部署中无需配置代理地址,以连接跟踪技术为基础,通过对源IP的跟踪转换,使得部署透明化。
【技术实现步骤摘要】
本专利技术涉及网络安全
,特别涉及一种透明反向代理模式下的IP地址还原方法。
技术介绍
反向代理(ReverseProxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。Web应用防护系统(WebApplicationFirewall,WAF)工作在应用层,因此对WEB应用防护具有先天的技术优势。基于对WEB应用业务和逻辑的深刻理解,WAF对来自WEB应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。现有技术中,WAF防护是防护Web应用程序存在安全隐患被黑客攻击的主要方法之一,其中一种为基于反向代理模式的WAF防护系统,WAF反向代理Web应用,对访问的请求进行过滤检测。反向代理模块是WAF防护系统中主要功能模块,其代理转发模式直接影响WAF的部署方式。在传统的WAF反向代理功能只是简单的通过改变访问地址,以代理服务器方式来接受Internet上的连接请求,然后将请求转发给内部网络上的Web应用,并将从Web应用上得到的结果返回给Internet上请求连接的客户端,此时WAF对外就表现为一个反向代理服务器。图1示出了现有技术的Web反向代理的原理。该方式存在以下缺点:1、Web应用只能收到源地址为WAF的请求数据;2、部署到网络内需要给WAF分配一个代理地址,并且改变数据的流向;3、WAF代理模式对网络环境以及业务服务器不透明,WEB应用无法看到访问者真实源地址的问题。
技术实现思路
本专利技术的目的旨在至少解决所述技术缺陷之一。为此,本专利技术的目的在于提出一种明反向代理模式下的IP地址还原方法,实现WAF代理模式对网络环境以及业务服务器的透明,在网络部署中无需配置代理地址,以连接跟踪技术为基础,通过对源IP的跟踪转换,使得部署透明化。为了实现上述目的,本专利技术的实施例提供一种透明反向代理模式下的IP地址还原方法,包括如下步骤:步骤S1,部署Web应用防护WAF防护系统,包括:配置需要防护的服务器地址、端口和域名以及建立所述WAF防护系统与服务器和客户端的连接关系;步骤S2,当所述WAF防护系统接收到来自所述客户端的服务器访问请求时,查询已配置的需要防护的服务器地址,当判断所述服务器访问请求中的目的IP地址为需要防护的服务器地址时,对所述目的IP地址进行目的地址转换,生成对应的内部使用地址;步骤S3,所述WAF防护系统以所述内部使用地址代理被请求的服务器接收来自所述客户端的访问请求,并检测所述访问请求中是否包括攻击行为;步骤S4,当检测所述访问请求中不包括攻击行为时,所述WAF防护系统将不包括攻击行为的访问请求对应的内部使用地址还原为目的IP地址,并将所述访问请求转发至所述目的IP地址对应的服务器,以由所述服务器响应所述客户端的访问请求。进一步,在所述步骤S1中,建立所述WAF防护系统与服务器和客户端的连接关系,包括:建立所述WAF防护系统与NAT设备连接,由所述NAT设备通过互联网连接至客户端;建立所述WAF防护系统与交换机连接,由所述交换机进一步连接至服务器。进一步,在所述步骤S3中,所述攻击行为至少包括以下一种:SQL注入式攻击、跨站脚本攻击、爬虫攻击和信息泄露。进一步,当检测所述访问请求中包括攻击行为时,所述WAF防护系统根据预先配置的防护策略,向所述客户端返回错误页面或者重定向指定的URL地址。进一步,在所述步骤S4中,当检测所述访问请求中不包括攻击行为时,所述WAF防护系统将对应的内部使用地址还原为服务器的目的IP地址,通过连接跟踪在下行处将源地址转换为客户端的真实源地址,以实现所述客户端对所述服务器透明。本专利技术实施例还提供一种透明反向代理模式下的IP地址还原系统,包括:Web应用防护WAF防护系统、客户端、NAT设备、交换机和服务器,其中,所述WAF防护系统配置有需要防护的服务器地址、端口和域名,用于接收来自所述客户端的服务器访问请求时,查询已配置的需要防护的服务器地址,当判断所述服务器访问请求中的目的IP地址为需要防护的服务器地址时,由所述NAT设备对所述目的IP地址进行目的地址转换,生成对应的内部使用地址,并以所述内部使用地址代理被请求的服务器接收来自所述客户端的访问请求,检测所述访问请求中是否包括攻击行为,所述WAF防护系统检测所述访问请求中不包括攻击行为时,将不包括攻击行为的访问请求对应的内部使用地址还原为目的IP地址,并通过所述交换机将所述访问请求转发至所述目的IP地址对应的服务器,所述服务器响应所述客户端的访问请求。进一步,所述WAF防护系统与所述NAT设备连接,由所述NAT设备通过互联网连接至客户端,所述WAF防护系统与所述交换机连接,由所述交换机进一步连接至服务器。进一步,所述攻击行为至少包括以下一种:SQL注入式攻击、跨站脚本攻击、爬虫攻击和信息泄露。进一步,所述WAF防护系统在检测所述访问请求中包括攻击行为时,根据预先配置的防护策略向所述客户端返回错误页面或者重定向指定的URL地址。进一步,所述WAF防护系统在检测所述访问请求中不包括攻击行为时,将对应的内部使用地址还原为服务器的目的IP地址,通过连接跟踪在下行处将源地址转换为客户端的真实源地址,以实现所述客户端对所述服务器透明。根据本专利技术实施例的透明反向代理模式下的IP地址还原方法及系统,实现WAF代理模式对网络环境以及业务服务器的透明,在网络部署中无需配置代理地址,以连接跟踪技术为基础,通过对源IP的跟踪转换,使得部署透明化。并且,Web应用可以直接接收到客户端的真实源地址,继承反向代理模式的较高防护能力,又提高了设备在网络拓扑中部署便利以及对业务透明的优点,具有可靠性、适用性和安全性的特点,简化了WAF反向代理模式的部署方式,无需改变用户拓扑。本专利技术附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。附图说明本专利技术的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:图1为现有技术的Web反向代理的原理的示意图;图2为根据本专利技术实施例的透明反向代理模式下的IP地址还原方法的流程图;图3为根据本专利技术实施例的透明反向代理模式下的IP地址还原系统的结构图;图4为根据本专利技术实施例的WAF防护系统的通信示意图。具体实施方式下面详细描述本专利技术的实施例,实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本专利技术,而不能理解为对本专利技术的限制。如图2所示,本专利技术实施例的透明反向代理模式下的IP地址还原方法,包括如下步骤:步骤S1,部署Web应用防护WAF防护系统,包括:配置需要防护的服务器地址、端口和域名以及建立WAF防护系统与服务器和客户端的连接关系。需要说明的是,对于WAF防护系统,无需配置代理地址。具体地,建立WAF防护系统与服务器和客户端的连接关系,包括以下两方面:首先,建立WAF防护系统与NAT设备连接,由本文档来自技高网...
【技术保护点】
一种透明反向代理模式下的IP地址还原方法,其特征在于,包括如下步骤:步骤S1,部署Web应用防护WAF防护系统,包括:配置需要防护的服务器地址、端口和域名以及建立所述WAF防护系统与服务器和客户端的连接关系;步骤S2,当所述WAF防护系统接收到来自所述客户端的服务器访问请求时,查询已配置的需要防护的服务器地址,当判断所述服务器访问请求中的目的IP地址为需要防护的服务器地址时,对所述目的IP地址进行目的地址转换,生成对应的内部使用地址;步骤S3,所述WAF防护系统以所述内部使用地址代理被请求的服务器接收来自所述客户端的访问请求,并检测所述访问请求中是否包括攻击行为;步骤S4,当检测所述访问请求中不包括攻击行为时,所述WAF防护系统将不包括攻击行为的访问请求对应的内部使用地址还原为目的IP地址,并将所述访问请求转发至所述目的IP地址对应的服务器,以由所述服务器响应所述客户端的访问请求。
【技术特征摘要】
2015.10.30 CN 20151071631841.一种透明反向代理模式下的IP地址还原方法,其特征在于,包括如下步骤:步骤S1,部署Web应用防护WAF防护系统,包括:配置需要防护的服务器地址、端口和域名以及建立所述WAF防护系统与服务器和客户端的连接关系;步骤S2,当所述WAF防护系统接收到来自所述客户端的服务器访问请求时,查询已配置的需要防护的服务器地址,当判断所述服务器访问请求中的目的IP地址为需要防护的服务器地址时,对所述目的IP地址进行目的地址转换,生成对应的内部使用地址;步骤S3,所述WAF防护系统以所述内部使用地址代理被请求的服务器接收来自所述客户端的访问请求,并检测所述访问请求中是否包括攻击行为;步骤S4,当检测所述访问请求中不包括攻击行为时,所述WAF防护系统将不包括攻击行为的访问请求对应的内部使用地址还原为目的IP地址,并将所述访问请求转发至所述目的IP地址对应的服务器,以由所述服务器响应所述客户端的访问请求。2.如权利要求1所述的透明反向代理模式下的IP地址还原方法,其特征在于,在所述步骤S1中,建立所述WAF防护系统与服务器和客户端的连接关系,包括:建立所述WAF防护系统与NAT设备连接,由所述NAT设备通过互联网连接至客户端;建立所述WAF防护系统与交换机连接,由所述交换机进一步连接至服务器。3.如权利要求1所述的透明反向代理模式下的IP地址还原方法,其特征在于,在所述步骤S3中,所述攻击行为至少包括以下一种:SQL注入式攻击、跨站脚本攻击、爬虫攻击和信息泄露。4.如权利要求1所述的透明反向代理模式下的IP地址还原方法,其特征在于,当检测所述访问请求中包括攻击行为时,所述WAF防护系统根据预先配置的防护策略,向所述客户端返回错误页面或者重定向指定的URL地址。5.如权利要求1所述的透明反向代理模式下的IP地址还原方法,其特征在于,在所述步骤S4中,当检测所述访问请求中不包括攻击行为时,所述WAF防护...
【专利技术属性】
技术研发人员:陈四强,刘天翔,权晓文,
申请(专利权)人:远江盛邦北京网络安全科技股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。