[发明专利]一种相同IP不同访问请求的WAF人机认证方法及设备

说明书

本申请公开了一种相同IP不同访问请求的WAF人机认证方法及设备，包括：接收客户端的访问请求后，若所述访问请求对应的流量符合预先配置的防护规则，则执行如下人机认证流程：生成认证数据，将认证数据对应的人机认证界面，作为所述访问请求的应答报文，发送给所述客户端；接收并解析所述客户端的认证请求，对所述客户端进行验证；基于验证结果，向所述客户端发送重定向报文；接收所述客户端重新发起的访问请求，并基于其中的认证状态来完成认证。本申请实施例WAF不需要检查所有流量，每个连接的只检测报文数，需要提取的字段等，可以解决相同IP的不同客户端的访问请求。

技术领域

本申请涉及计算机技术领域，尤其涉及一种相同IP不同访问请求的WAF人机认证方法及设备。

背景技术

对于同一内网用户访问互联网，出口网关的IP相同，因此中间设备包括WAF产品看到的源IP是相同的。对于同一内网用户的访问请求，经过WAF，如果单看源IP地址就无法做到精准防护。当前大多数厂商是通过会话管理功能，配置会话Token所在的位置，实现在同一IP下区分识别不同用户的访问行为，实现不影响其他用户的情况下，精准处置存在异常访问行为的用户。这种方式能解决有会话标记的用户请求，但是如果没有会话标记，则无法区分用户。

发明内容

本申请实施例提供一种相同IP不同访问请求的WAF人机认证方法及设备，用以解决没有会话标记时，区分相同IP不同用户的认证。

本申请实施例提供一种相同IP不同访问请求的WAF人机认证方法，包括：

利用所述WAF，接收客户端对目标页面的访问请求后，若所述访问请求符合预先配置的防护规则，则执行如下人机认证流程：

利用所述WAF，生成认证数据，并将所述认证数据对应的人机认证界面，作为所述访问请求的应答报文，发送给所述客户端，以在所述客户端执行验证，并在验证后所述客户端向所述WAF返回认证消息，其中在所述应答报文的报文头部，配置有取值包含命中防护规则ID的cookie，且返回的所述认证消息中包含所述cookie；

利用所述WAF接收并解析所述客户端的认证请求，对所述客户端进行验证；

基于验证结果，向所述客户端发送重定向报文，以使得所述客户端重新向所述目标页面发起访问请求，且重新发起的访问请求中携带有所述客户端的认证状态；

利用所述WAF，接收所述客户端重新发起的访问请求，并基于其中的认证状态来完成认证。

可选的，在利用所述WAF，生成认证数据之前还包括：更新所述客户端的用户认证状态至第一状态，且所述第一状态下的用户认证状态的KEY为内部数据加命中的防护规则ID。

可选的，将将所述认证数据对应的人机认证界面，作为所述访问请求的应答报文，发送给所述客户端是通过HTTP协议实现的；

所述客户端在接收到所述应答报文后，解析所述应答报文，渲染出人机认证界面，并基于所述人机认证界面执行验证，并在所述客户端存储所述应答报文的报文头部的cookie。

可选的，利用所述WAF接收并解析所述客户端的认证请求，对所述客户端进行验证包括：

利用所述WAF解析所述认证请求中的认证数据，以及报文头部cookie；

将生成的所述认证数据，与解析的认证数据进行对比，以对所述客户端进行验证；以及

在所述客户端认证通过的情况下，根据所述报文头部的cookie中的用户认证状态的KEY部分字段，拼接出完整的KEY，以更新用户认证状态。

可选的，在更新用户认证状态之后还包括：利用所述WAF发送重定向报文到所述客户端，且重定向报文的URL地址为所述目标页面的URL地址。