[发明专利]一种针对应用协议进行流量过滤的方法和装置

说明书

本发明公开了一种针对应用协议进行流量过滤的方法和装置，在Nginx流量代理的基础上，实现了基于ftp、http、smtp和pop3等标准应用协议和各种自定义非标准应用协议的数据结构检查。该方法通过修改自身配置，自研插件，实现常见应用协议的流量过滤的功能，该方法包括：功能编译，配置修改，流量过滤，且该数据结构检查规则灵活可配，软件实现能快速从大量流量中挑出恶意流量或安全流量，将安全流量予以放行，将恶意流量予以阻断并生成对应日志信息，从而极大地提高了应用系统的安全防护能力。

技术领域

本发明涉及网络安全技术领域，尤其设计一种针对应用协议进行流量过滤的方法和装置。

背景技术

Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器，同时也提供了IMAP/POP3/SMTP服务。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点（俄文：Рамблер）开发的，其将源代码以类BSD许可证的形式发布；其特点是占有内存少，并发能力强，已经成为国内外web 网站重要选择之一。Nginx是一款轻量级的Web服务器/反向代理服务器以及电子邮件代理服务器。其特点是占有内存少，并发能力强，事实上nginx的并发能力确实在同类型的网页服务器中表现较好。

Nginx相较于Apache\lighttpd具有占有内存少，稳定性高等优势，并且依靠并发能力强，丰富的模块库以及友好灵活的配置而闻名。在Linux操作系统下，nginx使用epoll事件模型,得益于此，nginx在Linux操作系统下效率相当高。

Nginx (engine x) 从2019年至2021年，连续3年市场占有率均排行第一，很多公司都在使用Nginx，但Nginx本身缺乏对应用流量的数据结构检查的能力，市面上可集成到Nginx的流量过滤工具大多也具有逻辑复杂，功能单一，定制化修改难度大的缺陷。

因此，如何实现Nginx中应用协议的灵活动态配置，对http、ftp、smtp、pop3及其他常用应用协议进行流量过滤，是目前有待解决的技术问题。

发明内容

本发明公开一种针对应用协议进行流量过滤的方法，所要解决的技术问题是基于Nginx软件本身缺乏对应用流量的数据结构检查的能力，通过加载自研插件的方式，实现常见应用协议的流量过滤的功能，该方法包括：

步骤S101功能编译：执行配置指令，执行web服务器编译命令，运行web服务器；

步骤S102配置加载：修改web服务器配置，在web服务器配置中增加若干文件，文件中描述各个应用协议的过滤规则，对每个应用协议区分，每个所述应用协议包含多个策略，对所述策略进行区分，每个策略均配置有对应的字段，策略配置的字段分别对应流量的进行放行或阻断；

所述字段包括放行字段或阻断字段；

步骤S103流量过滤：检查各数据是否正确，按web服务器配置的要求实时监听流量，将与放行字段对应的流量予以放行，将与阻断字段对应的流量予以阻断。

可选的，步骤S101还包括：所述执行配置命令时，增加与过滤功能相关源码所在的目录地址的选项。

可选的，步骤S102中所述修改web服务器配置具体为，在业务代理配置中新增字段，所述字段中第二个参数为每个代理唯一的正整数，同时在目录新增若干个文件，文件中描述各个应用协议的过滤规则。

可选的，所述步骤S103中的将与放行字段对应的流量予以放行，将与阻断字段对应的流量予以阻断具体包括：

判断所述流量命中的某一所述应用协议中的阻断策略和放行策略，并根据该判断结果执行流量的阻断和放行；

若所述流量同时命中阻断策略与放行策略，则所述流量将会被阻断；

若所述流量只命中阻断策略，则所述流量将会被阻断；

若所述流量只命中放行策略，则所述流量将会被放行。