一种WEB应用防火墙及拥塞控制方法、介质及电子设备,该方法包括:接收数据报文,并判断数据报文是否为最后一个节点的安全功能模块发送;若是,为数据报文设置超时时间戳;根据当前时间以及超时时间戳确定数据报文的剩余处理时间;判断剩余处理时间是否大于或等于需工作的当前节点的安全功能模块的报文处理时间;若是,将数据报文发送至当前节点的所述安全功能模块,以使当前节点的安全功能模块对数据报文进行处理,并返回处理完成的数据报文至转发控制器;若否,将下一节点作为需工作的当前节点,并返回执行判断数据报文并非为最后一个节点的安全功能模块发送的步骤,本发明专利技术可最大化兼容各类复杂环境。兼容各类复杂环境。兼容各类复杂环境。
【技术实现步骤摘要】
WEB应用防火墙及拥塞控制方法、介质及电子设备
[0001]本专利技术涉及防火墙
,特别是涉及一种WEB应用防火墙及拥塞控制方法、介质及电子设备。
技术介绍
[0002]WEB应用系统的成熟发展,业务环境越来越复杂,对WEB应用防火墙的要求逐渐提升。Web应用防火墙为了自身稳定性,在自身设置了各种应急机制。市场上WEB应用防火墙的应急机制分类只有一种,即设置阈值的方式,当到达监控的阈值之后,WEB应用防火墙直接做出应急动作。目前常见的阈值包含但不限于CPU、内存、吞吐、TPS等。
[0003]其实,这类设置阈值执行应急动作的机制,属于较为粗暴的一刀切想法。早期业务类型简单,可以暂时满足市场要求。直至今日,市场的要求提高,对WEB应用防火墙的性能,稳定都提出了进一步的要求。考虑HTTP业务的标准不统一,每台WEB应用防火墙部署的环境中,对WEB应用防火墙的要求是不一样的。
[0004]目前的WEB应用防火墙无法紧密贴合每个业务场景,让WEB应用防火墙处于两难尴尬的局势。要不设置阈值较低,使WEB应用防火墙设备存在性能空余,无法有效使产品高价值体现;要不设置阈值较高,使WEB应用防火墙设备在业务复杂环境下容易触发意外宕机,无法保障WEB应用防火墙稳定性,避免WEB业务受损。
[0005]为了解决上述问题,优化设备对场景的兼容性,创新专利技术新的拥塞机制,使WEB应用防火墙可以最高价值服务业务。
技术实现思路
[0006]鉴于上述状况,有必要针对现有技术中WEB应用防火墙适应性不高的问题,提供一种WEB应用防火墙及拥塞控制方法、介质及电子设备。
[0007]一种WEB应用防火墙拥塞控制方法,所述WEB应用防火墙包括转发控制器和多个节点的安全功能模块,各个节点的所述安全功能模块用于按照预设的工作顺序处理客户端向服务器发送的数据报文,所述方法应用于所述转发控制器,所述WEB应用防火墙拥塞控制方法包括:
[0008]接收所述数据报文,并判断所述数据报文是否为最后一个节点的所述安全功能模块发送;
[0009]当所述数据报文并非为最后一个节点的所述安全功能模块发送的时,为所述数据报文设置超时时间戳;
[0010]根据当前时间以及所述超时时间戳确定所述数据报文的剩余处理时间;
[0011]判断所述剩余处理时间是否大于或等于需工作的当前节点的所述安全功能模块的报文处理时间;
[0012]若是,将所述数据报文发送至所述当前节点的所述安全功能模块,以使所述当前节点的所述安全功能模块对所述数据报文进行处理,并返回处理完成的数据报文至所述转
发控制器;
[0013]若否,将下一节点作为需工作的当前节点,并返回执行判断所述数据报文并非为最后一个节点的所述安全功能模块发送的步骤。
[0014]进一步的,上述WEB应用防火墙拥塞控制方法,其中,所述判断所述剩余处理时间是否大于或等于需工作的当前节点的所述安全功能模块的报文处理时间的步骤之前还包括:
[0015]根据历史处理数据计算当前节点的所述安全功能模块处理数据报文的平均时间,并将计算得到的平均时间作为所述当前节点的所述安全功能模块的报文处理时间,所述历史处理数据包括所述当前节点的所述安全功能模块最近的预设时间段内多个成功处理的数据报文的处理时间。
[0016]进一步的,上述WEB应用防火墙拥塞控制方法,其中,所述安全功能模块用于对接收到的所述数据报文进行异常检测处理,当所述安全功能模块检测到所述数据报文存在异常时,所述安全功能模块返回阻断信号至所述转发控制器;
[0017]所述WEB应用防火墙拥塞控制方法还包括:
[0018]当接收到所述阻断信号时,阻断所述客户端向所述服务器发送的所述数据报文。
[0019]进一步的,上述WEB应用防火墙拥塞控制方法,其中,所述当前节点的所述安全功能模块返回处理完成的数据报文至所述转发控制器的同时,还返回处理完成所述数据报文的处理时间;
[0020]所述WEB应用防火墙拥塞控制方法还包括:
[0021]实时更新所述安全功能模块的处理时间。
[0022]进一步的,上述WEB应用防火墙拥塞控制方法,其中,所述将所述数据报文发送至所述当前节点的所述安全功能模块,以使所述当前节点的所述安全功能模块对所述数据报文进行处理,并返回处理完成的数据报文至所述转发控制器的步骤之后还包括:
[0023]当接收到所述当前节点的所述安全功能模块反馈的超时信号、错误返回码时,将下一节点作为需工作的当前节点,并返回执行判断所述剩余处理时间是否大于或等于需工作的当前节点的所述安全功能模块的报文处理时间的步骤。
[0024]进一步的,上述WEB应用防火墙拥塞控制方法,其中,还包括:
[0025]计算所述安全功能模块在预设时间内的错误率,并根据所述错误率计算所述安全功能模块的可发送窗口,所述错误率为所述预设时间内所述安全功能模块的反应超时次数、错误返回次数和被放弃的次数之和与所述预设时间内总的数据报文处理次数的比值,所述被放弃的次数即为所述安全功能模块在所述预设时间内无时间处理数据报文的次数。
[0026]进一步的,上述WEB应用防火墙拥塞控制方法,其中,还包括:
[0027]当所述数据报文为最后一个节点的所述安全功能模块发送的时,将所述数据报文发送至所述服务器。
[0028]本专利技术还公开了一种WEB应用防火墙,所述WEB应用防火墙包括转发控制器和多个节点的安全功能模块,各个节点的所述安全功能模块用于按照预设的工作顺序处理客户端向服务器发送的数据报文,所述转发控制器包括:
[0029]接收模块,用于接收所述数据报文;
[0030]第一判断模块,用于判断所述数据报文是否为最后一个节点的所述安全功能模块
发送;
[0031]设置模块,用于当所述数据报文并非为最后一个节点的所述安全功能模块发送的时,为所述数据报文设置超时时间戳;
[0032]确定模块,用于根据当前时间以及所述超时时间戳确定所述数据报文的剩余处理时间;
[0033]第二判断模块,用于判断所述剩余处理时间是否大于或等于需工作的当前节点的所述安全功能模块的报文处理时间;
[0034]发送模块,用于所述剩余处理时间大于或等于需工作的当前节点的所述安全功能模块的报文处理时间时,将所述数据报文发送至所述当前节点的所述安全功能模块,以使所述当前节点的所述安全功能模块对所述数据报文进行处理,并返回处理完成的数据报文至所述转发控制器;
[0035]执行模块,用于所述剩余处理时间小于需工作的当前节点的所述安全功能模块的报文处理时间时,将下一节点作为需工作的当前节点,并返回执行判断所述数据报文并非为最后一个节点的所述安全功能模块发送的步骤。
[0036]进一步的,上述WEB应用防火墙,还包括:
[0037]计算模块,用于根据历史处理数据计算当前节点的所述安全功能模块处理数据报文的平均时间,并将本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种WEB应用防火墙拥塞控制方法,其特征在于,所述WEB应用防火墙包括转发控制器和多个节点的安全功能模块,各个节点的所述安全功能模块用于按照预设的工作顺序处理客户端向服务器发送的数据报文,所述方法应用于所述转发控制器,所述WEB应用防火墙拥塞控制方法包括:接收所述数据报文,并判断所述数据报文是否为最后一个节点的所述安全功能模块发送;当所述数据报文并非为最后一个节点的所述安全功能模块发送的时,为所述数据报文设置超时时间戳;根据当前时间以及所述超时时间戳确定所述数据报文的剩余处理时间;判断所述剩余处理时间是否大于或等于需工作的当前节点的所述安全功能模块的报文处理时间;若是,将所述数据报文发送至所述当前节点的所述安全功能模块,以使所述当前节点的所述安全功能模块对所述数据报文进行处理,并返回处理完成的数据报文至所述转发控制器;若否,将下一节点作为需工作的当前节点,并返回执行判断所述数据报文并非为最后一个节点的所述安全功能模块发送的步骤。2.如权利要求1所述的WEB应用防火墙拥塞控制方法,其特征在于,所述判断所述剩余处理时间是否大于或等于需工作的当前节点的所述安全功能模块的报文处理时间的步骤之前还包括:根据历史处理数据计算当前节点的所述安全功能模块处理数据报文的平均时间,并将计算得到的平均时间作为所述当前节点的所述安全功能模块的报文处理时间,所述历史处理数据包括所述当前节点的所述安全功能模块最近的预设时间段内多个成功处理的数据报文的处理时间。3.如权利要求1所述的WEB应用防火墙拥塞控制方法,其特征在于,所述安全功能模块用于对接收到的所述数据报文进行异常检测处理,当所述安全功能模块检测到所述数据报文存在异常时,所述安全功能模块返回阻断信号至所述转发控制器;所述WEB应用防火墙拥塞控制方法还包括:当接收到所述阻断信号时,阻断所述客户端向所述服务器发送的所述数据报文。4.如权利要求1所述的WEB应用防火墙拥塞控制方法,其特征在于,所述当前节点的所述安全功能模块返回处理完成的数据报文至所述转发控制器的同时,还返回处理完成所述数据报文的处理时间;所述WEB应用防火墙拥塞控制方法还包括:实时更新所述安全功能模块的处理时间。5.如权利要求1所述的WEB应用防火墙拥塞控制方法,其特征在于,所述将所述数据报文发送至所述当前节点的所述安全功能模块,以使所述当前节点的所述安全功能模块对所述数据报文进行处理,并返回处理完成的数据报文至所述转发控制器的步骤之...
【专利技术属性】
技术研发人员:石达锋,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。