一种防止公有云环境中WAF被绕过的方法

摘要

本发明提供了一种防止公有云环境中WAF被绕过的方法，包括以下步骤：S1、管理员在WAF端添加server的IP地址IP1，在server端添加WAF的地址IP2，建立IP2与IP1的连接；S2、WAF系统每隔t时间获取一次系统当前的会话总数m，利用总数m得到数值n，WAF将n发送给server；S3、server端利用IP2与n相加得到IP3，WAF端利用IP2与n相加得到IP4；S4、在WAF端，WAF系统在http头中加入字段x‑forward‑for:IP4；S5、在server端，系统提取x‑forward‑for字段的IP4地址，利用IP4与IP3进行判断是否相应客户端的请求，重复步骤S2至S5。本发明所述的本发明方法能够有效防御攻击者通过直接访问目标站点IP地址来绕过WAF完成攻击目标的攻击行为。

说明书

技术领域

本发明属于网络安全技术领域，尤其是涉及一种防止公有云环境中WAF被绕过的方法。

背景技术

WAF(Web Application Firewall，web应用防火墙)，是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的系统；

现有的拓扑为用户访问目标站点www.test.com的流量首先会被DNS server解析到WAF集群，然后流量经过WAF集群检测认为是非攻击请求再转发给目标站点，从而实现WAF对目标站点的保护作用。

但是攻击者常常通过各种途径和方法来直接获取到目标站点的IP地址，然后实现绕过WAF直接访问目标站点，从而达到攻击目标站点的目的。

发明内容

有鉴于此，本发明旨在提出一种防止公有云环境中WAF被绕过的方法，以解决各种途径和方法来直接获取到目标站点的IP地址，然后实现绕过WAF直接访问目标站点，从而实现攻击目标站点的问题。

为达到上述目的，本发明的技术方案是这样实现的：

一种防止公有云环境中WAF被绕过的方法，包括以下步骤：

S1、管理员在WAF端添加server的IP地址IP1，在server端添加WAF的地址IP2，建立IP2与IP1的连接；

S2、WAF系统每隔t时间获取一次系统当前的会话总数m，利用总数m得到数值n，WAF将n发送给server；

S3、server端利用IP2与n相加得到IP3，WAF端利用IP2与n相加得到IP4；

S4、在WAF端，WAF系统在http头中加入字段x-forward-for:IP4；

S5、在server端，系统提取x-forward-for字段的IP4地址，利用IP4与IP3进行判断是否相应客户端的请求，重复步骤S2至S5。

进一步的，所述步骤S2中得到数值n的过程如下：取m的个位和十位，m的个位与十位没有数值用0代替。

进一步的，所述步骤S3中IP3与IP4的得到过程一致，得到过程如下：IP2的每个段位加n。

进一步的，所述步骤S5中的判断过程如下：系统先提取报文中x-forward-for字段的IP4地址，若IP4等于IP3地址，server正常相应客户端请求，若IP4地址不等于IP3地址，或没有提取到x-forward-for字段，则判定请求流量为绕过WAF的攻击流量，server端直接丢弃此请求流量不做处理。

相对于现有技术，本发明所述的一种防止公有云环境中WAF被绕过的方法具有以下优势：

本发明所述的WAF系统通过定期获取会话总数最后两位的值，来计算x-forward-for字段值，同时通过管理员手动配置的方式与指定的目标站点进行信息协商；Server端通过同步计算协商IP地址，以及提取对比http报文x-forward-for字段值的方式来判定请求流量是否为绕过WAF的攻击流量；本发明方法能够有效防御攻击者通过直接访问目标站点IP地址来绕过WAF完成攻击目标的攻击行为。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例所述的拓扑为WAF在公有云环境中的典型部署方式示意图；

图2为本发明实施例所述的绕过WAF直接访问目标站点示意图；

图3为本发明实施例所述的一种防止公有云环境中WAF被绕过的方法实现代码。

具体实施方式

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以通过具体情况理解上述术语在本发明中的具体含义。

下面将参考附图并结合实施例来详细说明本发明。

一种防止公有云环境中WAF被绕过的方法，包括以下步骤：

S1、管理员在WAF端添加server的IP地址IP1，在server端添加WAF的地址IP2，建立IP2与IP1的连接；

S2、WAF系统每隔t时间获取一次系统当前的会话总数m，利用总数m得到数值n，WAF将n发送给server；

S3、server端利用IP2与n相加得到IP3，WAF端利用IP2与n相加得到IP4；

S4、在WAF端，WAF系统在http头中加入字段x-forward-for:IP4；

S5、在server端，系统提取x-forward-for字段的IP4地址，利用IP4与IP3进行判断是否相应客户端的请求，重复步骤S2至S5。

所述步骤S2中得到数值n的过程如下：取m的个位和十位，m的个位与十位没有数值用0代替。

所述步骤S3中IP3与IP4的得到过程一致，得到过程如下：IP2的每个段位加n。

所述步骤S5中的判断过程如下：系统先提取报文中x-forward-for字段的IP4地址，若IP4等于IP3地址，server正常相应客户端请求，若IP4地址不等于IP3地址，或没有提取到x-forward-for字段，则判定请求流量为绕过WAF的攻击流量，server端直接丢弃此请求流量不做处理。

具体过程如下：

1、管理员需要在WAF端手动添加配置需要防护的目标站点server IP地址IP1；

2、管理员需要在目标站点(server)端手动添加配置WAF的地址IP2；

3、上述配置完成后，开启WAF的防护开关，然后WAF会主动与IP1完成TCP三次握手(三次握手是建立WAF的IP与server的IP的连接，TCP三次握手为本领域常规技术手段，此处不详细介绍)；

4、WAF系统每隔t时间获取一次系统当前的会话总数m，并取m的个位和十位，得到n(没有数值的位数用0填补)；

比如m＝123，那么n＝23；或者比如m＝3,那么n＝03；

5、WAF获取n的数值后，同时把n发送给目标站点server端；

6、WAF系统会将自己的IP地址IP2中4个段位的每个段位加n，得到IP4；比如WAF系统的IP地址为1.1.1.1，n＝11，那么IP4则为12.12.12.12(注：每个段位值最大为253，加n后大于253的话就计算为253)；

7、同步骤6，目标站点(server)端也会根据WAF的n值以及步骤2中配置的WAF地址IP2，使用同样的算法计算得到IP3，即IP3＝IP4(注：只有在步骤2中由管理员手动添加进来的WAF IP地址才会被server端完成此步骤，否则不处理)；

8、在WAF端，所有经过WAF系统发送给server端的http流量，WAF系统都会在http头中加入字段x-forward-for:IP4；

9、在目标站点(server)端，所有接收到的http报文，系统会先提取报文中x-forward-for字段的IP地址，如果提取到的IP地址等于IP3，则判定流量不是攻击流量，目标站点(server)端正常响应客户端的请求；如果提取到的IP地址不等于IP3，或者没有提取到x-forward-for字段，则判定该请求流量为绕过WAF的攻击流量，目标站点(server)端直接丢弃此请求流量不做处理；

10、WAF系统每隔t时间获取一次系统当前的会话总数m，然后重复上述步骤4到步骤9。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。