Web应用防火墙中流量处理模块的设计与实现

发布时间：2020-05-26 14:39

【摘要】：Web应用防火墙(Web Application Firewall,WAF)是专门针对Web应用的安全解决方案。它将安全与业务隔离,降低了因Web应用攻击带来的损失和网站安全开发的成本。随着互联网的发展,各企业业务体量的增加,除防御传统Web应用攻击外,他们还需要阻止爬虫抓取网站内容和“薅羊毛”等恶意访问。面对恶意访问,企业往往通过在Web应用中添加检测代码来进行防御。但这样做会增加业务功能与安全功能的耦合,而且增删检测代码需要重新验证和部署Web应用,这些都增加了Web应用的维护成本。同时进行检测往往需要在全站范围内对符合条件的访问进行筛选和统计,Web应用往往采用Web服务器集群的模式工作,添加此功能会不可避免地带来架构复杂性和开发成本。本文的主要目的是针对恶意访问防护,提出基于Web应用防火墙使用自定义脚本进行扩展的解决方案:企业根据安全需求编写检测脚本并交由Web应用防火墙运行,以进行访问统计和执行安全防护操作(如封禁、报警等)。流量处理模块是Web应用防火墙中实现该解决方案的主要模块。不同Web应用具有不同的业务体量,其实时负载也在变化中,因此本文设计了具有可伸缩性流量处理模块,使得企业还可以动态增减Web防火墙中流量处理模块节点的部署,达到处理性能与成本的权衡。本文的主要工作是对Web应用防火墙中流量处理模块进行设计与实现。本文介绍了国内外对于恶意访问防护解决方案的现状,引出本文解决方案;阐述了实现流量处理模块所需的相关技术及选用理由;分析了流量处理模块的功能需求,并结合行业标准考虑了可伸缩性,性能和安全性(Security)等非功能需求;设计了流量处理模块的体系结构并描述了其与Web应用防火墙其他组件的交互;对流量处理模块的流处理模块、插件模块和节点接口模块进行设计与实现,并展示了他们如何利用相关技术满足功能需求与非功能需求;最后对本文现阶段工作进行了总结,提出了该解决方案下一阶段可以开展的工作方向。企业使用基于本文解决方案设计的Web应用防火墙,可以在保持Web应用中安全与业务的隔离,使得Web应用在不需要重新部署和不变更原来的架构的前提下,获得所需的自定义安全防护功能。
【图文】：

图３．１描述问题域的用例图逡逑如图３．１描述了流量处理模块的问题域用例。流量处理模块的主要涉众及其逡逑主要期待有：逡逑（１）ＷＡＦ定制者：根据自己网站的实际情况制订安全策略，扩展Ｗｅｂ应用逡逑防火墙，使得防火墙除了一般的检测和过滤功能外，还有自定义封禁、限频功能，逡逑基于Ｓｙｓｌｏｇ的告警功能等。逡逑（２）逦ＷＡＦ管理员：实时监控网站的动向，包括当前网站的流量，受到攻击次逡逑数等信息，以便作出合适的应对策略。他们希望Ｗｅｂ应用防火墙能提供网站的逡逑实时监控信息，，收到他们关注的报警，以及在网站访问峰值和访问谷值时动态增逡逑删流量处理节点，以节约网站的运营成本。逡逑对问题域中的需求进行描述，得到问题域用例详细描述如表３．１所示。逡逑表３．１对问题域用例的详细描述逡逑用例编号｜逦用例名称逦用例详细描述逡逑－

南京大学硕士论文逦第三章需求分析与体系结构设计逡逑并映射组件、连接件为开发包，组成开发视图（ＤｅｖｅｌｏｐｍｅｎｔＶｉｅｗ）。逡逑３．同时从逻辑视图的角度出发，考虑系统进程间的交互方式，映射多个组逡逑件为进程，接口连接配置为进程间通信，组成进程视图（Ｐｒｏｃｅｓｓ邋Ｖｉｅｗ）。逡逑４．最后从开发视图和进程视图出发，考虑将软件构件部署在节点上运行，逡逑构建部署视图（Ｄｅｐｌｏｙｍｅｎｔ邋Ｖｉｅｗ）。逡逑５．从先前收集的一些关键场景和用例，验证体系结构设计的有效性，构建逡逑场景视图（Ｓｃｅｎａｒｉｏ邋Ｖｉｅｗ）。逡逑３．５．１逻辑视图：部件和连接件逡逑ｐｋｇＴｒａｆｆｉｃＭｏｄｕｌｅ．ＣｏｍｐｏｎｅｎｔＣｏｎｎｅｃｔｏｒ
【学位授予单位】：南京大学
【学位级别】：硕士
【学位授予年份】：2019
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 吴杰;徐骏善;;地铁自动售检票系统中票务处理模块的设计[J];城市轨道交通研究;2013年11期

2 吴振宇;刘网扣;顾华年;;燃气轮机空气处理模块的国产化[J];发电设备;2013年05期

3 郭京;沈华;张晓曦;高毅;亢晓丽;;一种小型化低功耗的机载处理模块设计[J];航空计算技术;2018年05期

4 彭飞,张跃,肖会兵;数字电视中多信号源处理模块的设计与实现[J];中国有线电视;2003年15期

5 常秀清;阮军洲;;基于MCIMX6Q6AVT10AC的通用处理模块硬件设计[J];计算机与网络;2016年05期

6 楚要钦;贺莹;吴翼虎;;一种机载显控系统高集成度通用处理模块设计[J];电子技术;2013年07期

7 刘崇治;鲜辉;;基于TMS34020的图形显示处理模块的设计[J];电子产品世界;2007年07期

8 刘崇治;鲜辉;;基于TMS34020的图形显示处理模块的设计[J];电脑知识与技术(学术交流);2007年10期

9 兰秀芹;;MIPv6的扩展头和移动头处理模块设计研究[J];福建电脑;2013年08期

10 李鸿;龙小波;谭怀忠;;UHF RFID系统读写器控制处理模块硬件设计综述[J];山西电子技术;2015年03期

相关会议论文 前2条

1 孙玉琦;张凯;王晓龙;徐志明;;基于规则和统计相结合的多音字研究[A];第五届全国人机语音通讯学术会议（NCMMSC1998）论文集[C];1998年

2 孙捷;任德昊;付琳;;一种高性能多功能STM-1定时接收监测器的设计[A];四川省通信学会2006年学术年会论文集（一）[C];2006年

相关重要报纸文章 前7条

1 ;草谷集团推出处理模块[N];中国电子报;2001年

2 记者冯欣 通讯员韦万春;开发简单实用信息处理模块[N];南宁日报;2012年

3 高岚;X40防火墙直追NetScreen5200[N];中国计算机报;2003年

4 王新荣;百变不离其宗[N];中国信息化周报;2015年

5 本报记者 王璐;柜员机市场洋品牌迷信 亟待破除[N];金融时报;2004年

6 本报记者 边歆;此UTM非彼UTM[N];网络世界;2008年

7 田进粮;新收寄系统核账处理的操作要点[N];中国邮政报;2015年

相关博士学位论文 前2条

1 王俊;全数字式高分辨率SAR实时处理机研究[D];北京航空航天大学;2001年

2 开毅;低功耗核心路由器设计的关键技术的研究[D];清华大学;2013年

相关硕士学位论文 前10条

1 罗浩然;Web应用防火墙中流量处理模块的设计与实现[D];南京大学;2019年

2 赵国柱;符合ISO/IEC 18000-6 Type C标准的RFID读写器协议处理模块设计[D];天津大学;2009年

3 马航;多功能网络测试仪设计及分组处理模块FPGA实现[D];西安电子科技大学;2011年

4 张延年;光纤通道协议处理模块的设计与验证[D];西安电子科技大学;2016年

5 王培宇;混合型智能数据懫集处理模块的设计[D];天津大学;2015年

6 罗爱;现场数据采集与处理模块设计[D];南京理工大学;2009年

7 孙彩霞;物联网资源接入与智能处理平台中复杂事件处理模块的设计与实现[D];北京邮电大学;2016年

8 朱玉海;数字化环卫系统中的垃圾处理模块的设计与实现[D];吉林大学;2016年

9 杨学钢;基于ARM9的航电综合控制单元主处理模块的设计和实现[D];上海交通大学;2008年

10 徐小博;SCADA系统中数据采集与处理模块的设计与实现[D];北京邮电大学;2014年

本文编号：2681991