[发明专利]网络安全防护方法、设备及计算机可读存储介质

说明书

本发明公开了一种网络安全防护方法，该方法包括：当nginx服务器接收到客户端发送的网络请求包时，从预先保存的WAF服务配置信息中获取一个可用的WAF服务地址；将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器，以使所述WAF服务器根据预置的WAF策略判断所述网络请求包是否为恶意的网络请求包；当接收到所述WAF服务器返回的所述网络请求包为恶意的网络请求包的判断结果时，拦截所述网络请求包。本发明还公开了一种网络安全防护设备和一种计算机可读存储介质。本发明能够提高基于nginx服务器的Web应用防护性能。

技术领域

本发明涉及网络安全技术领域，尤其涉及网络安全防护方法、设备及计算机可读存储介质。

背景技术

nginx(engine x)是一个高性能的HTTP和反向代理服务，用于实现客户端和业务后台之间的网络代理。当WEB(World Wide Web，万维网)应用越来越为丰富的同时，WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标，在此情况下，为防止业务后台受到来自于客户端请求的攻击，nginx服务器通常会提供Web应用防护功能。

现有技术中，在nginx服务器上实现Web应用防护功能主要包括两种方式：

1)将WAF(Web Application Firewall，Web应用防护系统)策略通过预编译的方式嵌入到nginx插件中。这种方式无法实现热更新，配置策略不够灵活，且迭代成本较高。

2)将WAF策略存储于nginx服务器的共享内存中令nginx插件读取，然后nginx插件根据策略来决定是否拦截客户端请求。由于一台nginx服务器上可能运行多个nginx服务，而不同的nginx服务往往采用不同的WAF策略，因此这种读取共享内存的方式会导致单机上的多个nginx服务之间发生冲突，且策略的执行依赖于单机性能，无法横向扩展。

基于上述问题，目前nginx服务器的Web应用防护性能还有待提高。

发明内容

本发明的主要目的在于提出一种网络安全防护方法、设备及计算机可读存储介质，旨在提高基于nginx服务器的Web应用防护性能。

为实现上述目的，本发明提供一种网络安全防护方法，所述网络安全防护方法包括如下步骤：

当nginx服务器接收到客户端发送的网络请求包时，从预先保存的WAF服务配置信息中获取一个可用的WAF服务地址；

将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器，以使所述WAF服务器根据预置的WAF策略判断所述网络请求包是否为恶意的网络请求包；

当接收到所述WAF服务器返回的所述网络请求包为恶意的网络请求包的判断结果时，拦截所述网络请求包。

优选地，所述将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤包括：

调用预设的网络接口，所述网络接口包括采用用户数据报协议UDP的UDP接口和采用传输控制协议TCP的TCP接口中的任意一种；

通过所述网络接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器。

优选地，所述通过所述网络接口将所述网络请求包发送给获取到的所述WAF服务地址对应的WAF服务器的步骤包括：

判断所述网络请求包的大小是否超过预设大小；

若是，则为未超出部分的包体分配预设的固定内存，为超出部分的包体分配动态内存，并将超出部分的包体通过调用异步发送TCP接口的方式发送给所述WAF服务地址对应的WAF服务器。