[发明专利]为网络服务器的防火墙产生规则文件的方法和系统

说明书

技术领域

本发明涉及计算机网络安全领域，特别涉及用于为网络服务器的防火 墙产生规则文件的方法和系统。

背景技术

随着计算机和互联网技术的发展，诸如网上购物、网上银行等网络应 用日益普及。但是在过去十年针对网络应用的攻击也已成为一大威胁。因 为即使防火墙具有强大的规则集，服务器也经常及时安装补丁，但如果网 络应用的开发人员没有遵循安全编码实践，攻击者可通过端口80轻而易 举地进入系统。最为流行的两种攻击是SQL注入和XSS(跨站点脚本)。 通过SQL注入可能盗取数据库中的数据，甚至可能倾空整个数据库，这 会给某些应用带来灾难。通过XSS还可能盗取普通用户的秘密数据(例 如他们的用户标识或会话标识)。

大部分网络应用漏洞是由于服务器站点未对提交的值进行再次检验 而导致的。例如开发者仅仅在客户站点使用脚本文件检验用户的输入，但 未在服务器站点再次检验。这种情况下，恶意用户可能通过攻击客户站点 html文档或直接使用工具构建请求来绕开客户站点脚本文件的校验，因 此由于缺乏服务器站点的再次检验，恶意用户的输入可能会导致SQL或 XSS攻击。

目前WAF(网络应用防火墙)是抵御SQL或XSS攻击的一种方法， 用于在应用服务器之前过滤恶意请求。WAF的优点在于：无需获得和更 改源代码，即可使过滤规则在应用运行时得到更新，因此当新的漏洞被发 现时，该应用无需被再部署。

为使用WAF，需要管理员手动配置请求中表项的正向和反向安全模 型。然而，由于大部分应用具有许多表，每个表又具有许多表项，并且每 个表项的正向安全模型又通常不同，因此对整个应用配置正向安全模型非 常耗时。另外，由于WAF管理员可能不熟悉该应用，因此在不进行假反 向检测或假正向检测的情况下很难给出准确的正向安全模型配置。

发明内容

本发明的目的是提供一种新颖的用于为网络服务器的防火墙产生规 则文件的方法和系统，旨在减小网络应用漏洞，避免或者至少减轻手工配 置表项的正向和/或反向安全模型的负担。

根据本发明的一个方面，一种用于为网络服务器的防火墙产生规则文 件的方法，包括：

拦截由所述网络服务器的网络应用为浏览器构建的响应；

通过添加用于在被执行时捕获已嵌入在所述响应中的正则表达式及 其相关的参数值的捕获代码来修改所述响应；

将修改后的响应发送至所述浏览器；

接收所述浏览器提交的请求以及由所述捕获代码捕获的至少一个正 则表达式及其相关的参数值；以及

根据接收的所述请求中包含的至少一个参数名及其相关的参数值以 及接收的所述至少一个正则表达式及其相关的参数值，确定与同一个参数 值相关的所述参数名和所述正则表达式，并且通过使用所确定的彼此相关 的所述参数名和所述正则表达式作为过滤规则来配置所述防火墙的规则 文件。

本发明提出了使用客户站点脚本代码中的正则表达式来自动定义 WAF上的正向和/或反向安全模型。如上所述，通常客户站点脚本代码使 用正则表达式匹配来检验用户输入，本发明通过插入捕获代码用于在浏览 器端执行修改后的脚本代码时捕获与参数值相关的正则表达式，来确定正 则表达式和特定的参数值之间的相关性；并且确定特定的参数值和参数名 之间的相关性，由此判断与同一个参数值相关的参数名和正则表达式，从 而使用所确定的彼此相关的参数名和正则表达式作为过滤规则来配置所 述防火墙的规则文件。

这样在运行时，用户的请求在被递交到应用服务器之前首先经过 WAF，WAF利用其规则文件中的与参数名和正则表达式相关的规则来检 查用户请求中的与每一项参数名相对应的参数值以验证其是否符合正向 安全模型和反向安全模型。如果请求中的表项不符合其中的安全模型，则 拒绝该请求或记录该请求。

根据本发明的另一方面，一种用于为网络服务器的防火墙产生规则文 件的系统，包括：

拦截装置，被配置成拦截由所述网络服务器的网络应用为浏览器构建 的响应；

修改装置，被配置成通过添加用于在被执行时捕获已嵌入在所述响应 中的正则表达式及其相关的参数值的捕获代码来修改所述响应；

发送装置，被配置成将修改后的响应发送至所述浏览器；