[发明专利]一种基于nginx请求转发的Web防火墙拥塞控制方法

摘要

本发明公开了一种基于nginx请求转发的Web防火墙拥塞控制方法，Waf通过获取nginx状态得到当前的访问数，当检测到当前访问的qps超过了正常TPS，若继续照当前速度处理请求，则会导致队列排队过长从而无法正常响应所有请求，此时为了确认超出负载的请求有多少，nginx通过统计一段时间内请求队列的增加情况得到这段时间内队列长度的增长率，当前方的负载均衡服务器拉取到增长率值后，会调整upstream的权重，将部分请求直接代理到业务源站，绕过waf，从而减少waf的负载，防止停机。本发明的方法可解决防火墙检测规则过于复杂带来的响应时间过久甚至响应错误的问题，在阻塞时通过直接转发的方式来缓解防火墙压力，从而达到保护系统安全的目的。

主权项

1.一种基于nginx请求转发的Web防火墙拥塞控制方法，其特征在于，包括以下步骤：A.统计web防火墙的吞吐量，在业务请求量正常的情况下在一段时间内连续统计nginx当前的请求队列长度和每秒查询率qps，其中，在队列长度稳定的情况下对应的每秒查询率qps就是web防火墙的系统吞吐量TPS，稳定的队列长度即当前网络环境下正常的队列长度Lm；B.当nginx当前每秒查询率qps大于或等于web防火墙的系统吞吐量TPS时，每隔时间间隔t，获取一次nginx的当前队列长度L1，在连续n次获取nginx的当前队列长度后，计算(n‑1)*t这段时间内队列的平均长度L＝(L1+L2+...+Ln)/n；C.根据队列平均长度L和队列正常长度Lm，计算队列的增长率p，p＝(L‑Lm)/Lm；D.前端负载均衡服务器定期获取队列增长率p，并根据队列增长率p对负载均衡服务器的负载权重作调整，使请求中占比为p百分比的请求不通过web防火墙直接被转发到后台业务服务器；E.重复步骤B至步骤D，直至队列增长率p开始下降；当增长率p小于0时，表明在当前分流比率下web防火墙能够及时处理来访的请求，此时维持负载权重不变；F.持续监控web防火墙的当前每秒查询率qps，若每秒查询率qps下降至小于web防火墙的系统吞吐量TPS，则停止负载均衡服务器的转发。