本申請涉及計算機領(lǐng)域�����,尤其涉及一種網(wǎng)絡(luò)應(yīng)用防護技術(shù)�����。
背景技術(shù):
::現(xiàn)有技術(shù)中���,云WAF(網(wǎng)站應(yīng)用防護系統(tǒng))的接入流程大多比較復(fù)雜,影響了用戶網(wǎng)站原有的關(guān)鍵指標(biāo)信息��,且在網(wǎng)站防護效果上存在諸多缺陷�����。例如�,在現(xiàn)有的CNAME-WAF模式中,通過修改目標(biāo)應(yīng)用對應(yīng)的CNAME(別名記錄)信息���,將原始訪問請求對應(yīng)的目的IP信息修改為云WAF對應(yīng)的IP信息���,從而將所述訪問請求接入所述云WAF�,目的IP的改變����,可能會影響到目標(biāo)應(yīng)用的SEO(搜索引擎優(yōu)化)排名,此外��,當(dāng)接入所述云WAF的某個域名被攻擊��,由于攻擊者看到的是所述云WAF集群對應(yīng)的IP信息�,進而可能對接入該WAF的其他應(yīng)用造成一定影響。技術(shù)實現(xiàn)要素:本申請的目的是提供一種網(wǎng)絡(luò)應(yīng)用防護方法與設(shè)備���。根據(jù)本申請的一個方面�����,提供了一種網(wǎng)絡(luò)應(yīng)用防護方法��,包括:根據(jù)待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息在網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息���;接收所述網(wǎng)絡(luò)設(shè)備基于所述牽引策略信息所牽引的關(guān)于所述網(wǎng)絡(luò)應(yīng)用的訪問請求,其中��,所述訪問請求的目的地址為所述應(yīng)用地址信息;將所述訪問請求中的目的地址轉(zhuǎn)換為對應(yīng)防護應(yīng)用的本地地址信息���;利用所述防護應(yīng)用對所述訪問請求進行安全防護處理����。根據(jù)本申請的另一方面��,還提供了一種網(wǎng)絡(luò)應(yīng)用防護設(shè)備���,包括:第一裝置���,用于根據(jù)待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息在網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息���;第二裝置�����,用于接收所述網(wǎng)絡(luò)設(shè)備基于所述牽引策略信息所牽引的關(guān)于所述網(wǎng)絡(luò)應(yīng)用的訪問請求����,其中���,所述訪問請求的目的地址為所述應(yīng)用地址信息�����;第三裝置���,用于將所述訪問請求中的目的地址轉(zhuǎn)換為對應(yīng)防護應(yīng)用的本地地址信息���;第四裝置,用于利用所述防護應(yīng)用對所述訪問請求進行安全防護處理�。與現(xiàn)有技術(shù)相比,本申請基于待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息在對應(yīng)的網(wǎng)絡(luò)設(shè)備中配置相應(yīng)的牽引策略信息����,從而將所述網(wǎng)絡(luò)應(yīng)用的訪問請求牽引至所述防護應(yīng)用,并通過轉(zhuǎn)換所述訪問請求對應(yīng)的目的地址�����,在防護應(yīng)用中完成所述訪問請求的安全防護處理�。基于此����,本申請不需要修改網(wǎng)絡(luò)應(yīng)用對應(yīng)的DNS(域名系統(tǒng))記錄,實現(xiàn)了對目的地址不是防護應(yīng)用自身地址信息的訪問請求的牽引以及與其相應(yīng)的安全防護處理,由于牽引時的目的地址保持為待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息不變���,所以對用戶網(wǎng)站原有的關(guān)鍵指標(biāo)信息沒有影響���;同時避免了針對個別網(wǎng)絡(luò)應(yīng)用的一些攻擊波及影響到接入相同防護應(yīng)用的其他網(wǎng)絡(luò)應(yīng)用。進一步�,通過對所述防護應(yīng)用實施啟用操作,可以一鍵開啟所述防護應(yīng)用�,接入流程簡單。更進一步����,對所述訪問請求按照組包模式進行安全檢測,可以有效地提升防護應(yīng)用的防護效果��。附圖說明通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述���,本申請的其它特征、目的和優(yōu)點將會變得更明顯:圖1示出根據(jù)本申請一個方面的一種網(wǎng)絡(luò)應(yīng)用防護設(shè)備的設(shè)備示意圖���;圖2示出根據(jù)本申請一個優(yōu)選實施例的一種網(wǎng)絡(luò)應(yīng)用防護設(shè)備的部分裝置的設(shè)備示意圖�����;圖3示出根據(jù)本申請另一個方面的一種網(wǎng)絡(luò)應(yīng)用防護方法流程圖��;圖4示出根據(jù)本申請一個優(yōu)選實施例的一種網(wǎng)絡(luò)應(yīng)用防護方法的部分 流程圖��。附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件�。具體實施方式下面結(jié)合附圖對本申請作進一步詳細描述。在本申請一個典型的配置中�,終端、服務(wù)網(wǎng)絡(luò)的設(shè)備和可信方均包括一個或多個處理器(CPU)�、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存���。內(nèi)存可能包括計算機可讀介質(zhì)中的非永久性存儲器����,隨機存取存儲器(RAM)和/或非易失性內(nèi)存等形式��,如只讀存儲器(ROM)或閃存(flashRAM)���。內(nèi)存是計算機可讀介質(zhì)的示例���。計算機可讀介質(zhì)包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術(shù)來實現(xiàn)信息存儲�。信息可以是計算機可讀指令��、數(shù)據(jù)結(jié)構(gòu)���、程序的模塊或其他數(shù)據(jù)。計算機的存儲介質(zhì)的例子包括�,但不限于相變內(nèi)存(PRAM)、靜態(tài)隨機存取存儲器(SRAM)����、動態(tài)隨機存取存儲器(DRAM)、其他類型的隨機存取存儲器(RAM)����、只讀存儲器(ROM)、電可擦除可編程只讀存儲器(EEPROM)�、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲器(CD-ROM)����、數(shù)字多功能光盤(DVD)或其他光學(xué)存儲、磁盒式磁帶���,磁帶磁盤存儲或其他磁性存儲設(shè)備或任何其他非傳輸介質(zhì),可用于存儲可以被計算設(shè)備訪問的信息���。按照本文中的界定�����,計算機可讀介質(zhì)不包括非暫存電腦可讀媒體(transitorymedia)���,如調(diào)制的數(shù)據(jù)信號和載波�����。圖1示出根據(jù)本申請一個方面的一種網(wǎng)絡(luò)應(yīng)用防護設(shè)備的設(shè)備示意圖����。所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1包括第一裝置11�����、第二裝置12�����、第三裝置13和第四裝置14���。其中���,第一裝置11根據(jù)待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息在網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息����;第二裝置12接收所述網(wǎng)絡(luò)設(shè)備基于所述牽引策略信息所牽引的關(guān)于所述網(wǎng)絡(luò)應(yīng)用的訪問請求����,其中,所述訪問請求的目的地址為所述應(yīng)用地址信息�;第三裝置13將所述訪問請求中的目的地址轉(zhuǎn)換為對應(yīng)防護應(yīng)用的本地地址信息;第四裝置14利用所述防護 應(yīng)用對所述訪問請求進行安全防護處理��。具體地�����,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1的第一裝置11根據(jù)待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息在網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息�����。此時�,所述待防護的網(wǎng)絡(luò)應(yīng)用是用戶訪問請求對應(yīng)的真實網(wǎng)絡(luò)應(yīng)用。所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1上可能同時接入了若干個待防護的網(wǎng)絡(luò)應(yīng)用��。在此,優(yōu)選地����,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1獨立于各個待防護的網(wǎng)絡(luò)應(yīng)用所對應(yīng)的各個設(shè)備而存在���,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1可以是云端設(shè)備��。其中�,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1可以包括一個相應(yīng)設(shè)備�,也可以包括由多個具有相同網(wǎng)絡(luò)應(yīng)用防護功能的設(shè)備組成的設(shè)備集群。所述應(yīng)用地址信息包括待防護的網(wǎng)絡(luò)應(yīng)用所在設(shè)備對應(yīng)的IP地址信息�。所述網(wǎng)絡(luò)設(shè)備包括相應(yīng)的網(wǎng)絡(luò)連接設(shè)備,如路由器,例如��,所述網(wǎng)絡(luò)設(shè)備對應(yīng)于所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1所在機房的核心路由器����。在所述網(wǎng)絡(luò)設(shè)備中配置所述牽引策略信息包括添加相應(yīng)的牽引路由,如BGP(邊界網(wǎng)關(guān)協(xié)議)牽引路由�。例如,基于已知的所述網(wǎng)絡(luò)應(yīng)用的IP地址信息�����,在所述核心路由器中添加與該IP地址相關(guān)聯(lián)的靜態(tài)路由��,進而一旦所述網(wǎng)絡(luò)設(shè)備接收到對應(yīng)所述IP地址的訪問請求,則可以啟動相應(yīng)的靜態(tài)路由�。優(yōu)選地,所述第一裝置11包括第三單元(未示出)和第四單元(未示出)����。其中,所述第三單元獲取待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息���;第四單元基于所述應(yīng)用地址信息��,向所述網(wǎng)絡(luò)設(shè)備發(fā)出牽引配置指令����,以在所述網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息�。具體地,第三單元獲取待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息�。在此,優(yōu)選地�,對于已經(jīng)與所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1建立連接關(guān)系的待防護的網(wǎng)絡(luò)應(yīng)用,會將其所在設(shè)備對應(yīng)的應(yīng)用地址信息�、域名信息、相對應(yīng)的DNS記錄信息等數(shù)據(jù)信息進行相應(yīng)的存儲���。當(dāng)開啟所述防護應(yīng)用時�����,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1會首先從存儲設(shè)備中讀取預(yù)先存儲的待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息等數(shù)據(jù)����,此時��,可以一次性讀取多個或全部待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息����。接著,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1的第四單元基于所獲取的應(yīng)用地址信息����,如IP地址信息,向與之對應(yīng)的核心路由器發(fā)出牽引配置指令���。以BGP 牽引指令為例����,假設(shè)所述設(shè)備1獲取的待防護的網(wǎng)絡(luò)應(yīng)用A的設(shè)備IP信息為1.1.1.x���,進而向與所述設(shè)備1對應(yīng)的核心路由器發(fā)送牽引配置指令:network1.1.1.x���,從而在所述核心路由器與所述設(shè)備1之間添加了對應(yīng)的靜態(tài)路由���,進而實現(xiàn)與此IP信息相對應(yīng)的訪問請求經(jīng)由所述靜態(tài)路由完成數(shù)據(jù)的傳送。在此����,本領(lǐng)域技術(shù)人員應(yīng)能理解上述BGP牽引指令僅為舉例,其他現(xiàn)有的或今后可能出現(xiàn)的基于其他協(xié)議對應(yīng)的牽引指令如可適用于本發(fā)明��,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)�����,并在此以引用方式包含于此����。優(yōu)選地,所述第一裝置11包括第五單元(未示出)��,所述第五單元獲取關(guān)于防護應(yīng)用的啟用操作信息時�,根據(jù)待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息在網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息。具體地���,在此�����,對于所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1��,可以通過一鍵開啟等方式啟動相應(yīng)的防護應(yīng)用�,可以是基于所述設(shè)備1的管理平臺定時啟動,或是基于接入設(shè)備1的各個網(wǎng)絡(luò)應(yīng)用的請求而啟動所述防護應(yīng)用�,當(dāng)獲取了所述啟用操作信息后���,所述設(shè)備1將會基于設(shè)置��,自動讀取接入網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息���、域名信息、相對應(yīng)的DNS記錄信息等數(shù)據(jù)信息�����,并進一步�����,基于所述應(yīng)用地址信息在網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息。相比于現(xiàn)有的云WAF技術(shù)���,例如����,相比于現(xiàn)有CNAME-WAF模式中需要通過人工操作修改DNS記錄����,并需要經(jīng)歷不可估計的DNS生效時間,本申請基于所述啟用操作信息�����,可以實現(xiàn)所述網(wǎng)絡(luò)應(yīng)用自動化接入相應(yīng)的防護設(shè)備��,無需人工干預(yù)��,并且接入流程更為簡單�。優(yōu)選地,所述第一裝置11包括第六單元(未示出)和第七單元(未示出)�。其中,第六單元根據(jù)待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息�,向網(wǎng)絡(luò)設(shè)備發(fā)送牽引策略查詢指令;當(dāng)對應(yīng)的策略查詢結(jié)果為空時�,第七單元在所述網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息����。具體地�,在實際應(yīng)用中,可以對于所述設(shè)備1在所述網(wǎng)絡(luò)設(shè)備中配置的牽引策略信息的情況進行定期的檢驗�,確保用戶的訪問請求,如數(shù)據(jù)流量可以正常的牽引到所述設(shè)備1���?����;蚴牵瑑?yōu)選地����,在用戶訪問網(wǎng)絡(luò)應(yīng)用出現(xiàn)訪問故障時,也可以即時對所述配置的牽引策略信息進行驗證排查��,以 驗證基于所述網(wǎng)絡(luò)應(yīng)用對應(yīng)的應(yīng)用地址信息�,在所述網(wǎng)絡(luò)設(shè)備上是否存在相應(yīng)的牽引策略,若是檢驗結(jié)果不存在�,則對于確定接入所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1的所述網(wǎng)絡(luò)應(yīng)用,進行對應(yīng)的牽引策略信息的添加�。在此��,當(dāng)需要進行所述驗證時��,所述第六單元將根據(jù)待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息���,如網(wǎng)絡(luò)應(yīng)用對應(yīng)設(shè)備的IP地址信息,向網(wǎng)絡(luò)設(shè)備發(fā)送牽引策略查詢指令�。以牽引策略為BGP牽引為例,此時�,可以從所述設(shè)備1向所述網(wǎng)絡(luò)設(shè)備,如核心路由器發(fā)送BGP牽引查詢指令:showipbgp��。在此����,所述ip即為當(dāng)前需要驗證的牽引策略信息對應(yīng)的應(yīng)用地址信息,如所述ip為待防護的網(wǎng)絡(luò)應(yīng)用B的設(shè)備IP信息1.1.1.y����。若是所述BGP牽引記錄查詢結(jié)果為空,則所述第七單元則會調(diào)用相應(yīng)的BGP命令���,在所述網(wǎng)絡(luò)設(shè)備中添加相應(yīng)的牽引策略信息���,例如��,所述設(shè)備1向?qū)?yīng)的核心路由器發(fā)送牽引配置指令:network1.1.1.y�,添加相應(yīng)的牽引路由���。此外,對于已經(jīng)建立���,但是不再需要的牽引策略信息,也可以根據(jù)需要予以取消���,以牽引策略為BGP牽引為例�,例如,所述設(shè)備1向所述網(wǎng)絡(luò)設(shè)備發(fā)送指令:nonetwork1.1.1.y�����,即可以取消已存在的IP信息1.1.1.y的牽引策略信息���。對于以不再需要的牽引策略�,或是預(yù)計較長時間內(nèi)不再需要的牽引策略定期進行刪除����,可以優(yōu)化對所述牽引策略信息的管理�,減少數(shù)據(jù)冗余。在此����,本領(lǐng)域技術(shù)人員應(yīng)能理解上述BGP牽引查詢指令僅為舉例����,其他現(xiàn)有的或今后可能出現(xiàn)的基于其他協(xié)議對應(yīng)的牽引查詢指令如可適用于本發(fā)明,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)����,并在此以引用方式包含于此����。接著,所述設(shè)備1的第二裝置12接收所述網(wǎng)絡(luò)設(shè)備基于所述牽引策略信息所牽引的關(guān)于所述網(wǎng)絡(luò)應(yīng)用的訪問請求,其中�����,所述訪問請求的目的地址為所述應(yīng)用地址信息��。具體地�,基于所述網(wǎng)絡(luò)設(shè)備牽引而來的訪問請求可以直接來源于用戶的訪問操作�,例如�,當(dāng)用戶訪問所述網(wǎng)絡(luò)應(yīng)用時���,會輸入所述網(wǎng)絡(luò)應(yīng)用的對應(yīng)的域名信息��,基于所述網(wǎng)絡(luò)應(yīng)用對應(yīng)的DNS記錄���,解析域名為對應(yīng)的的IP地址信息�����,所述IP地址信息即為此時用戶訪問請求的目的地址。 進而��,所述網(wǎng)絡(luò)設(shè)備����,如核心路由器,會判斷所述用戶訪問請求對應(yīng)的IP地址信息在其上是否有對應(yīng)的牽引策略信息�����,如相應(yīng)的靜態(tài)牽引路由,若是存在����,則基于所述牽引路由�,所述訪問請求便傳遞了到所述設(shè)備1�����,此時,所述設(shè)備1即接收到了目的地址不為設(shè)備1自身應(yīng)用地址信息的訪問請求�����。接著���,所述設(shè)備1的第三裝置13將所述訪問請求中的目的地址轉(zhuǎn)換為對應(yīng)防護應(yīng)用的本地地址信息。具體地����,所述設(shè)備1接收到的訪問請求,其訪問請求的目的地址對應(yīng)于實際訪問的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息���,若是要進一步在所述設(shè)備1上完成安全防護處理等操作,需要在所述設(shè)備1上對所述訪問請求的目的地址進行相應(yīng)替換���,基于轉(zhuǎn)換后的設(shè)備1的本地地址信息才可以順利地啟用相應(yīng)的安全防護應(yīng)用��。優(yōu)選地,通過DNAT(目的地址轉(zhuǎn)換)設(shè)置��,對訪問請求的目的地址進行修改���,并且保存修改前后的映射關(guān)系�,使得可以根據(jù)需要進行還原操作。在此�,可以通過iptables命令,對所述設(shè)備1進行DNAT設(shè)置�,例如,通過執(zhí)行命令:iptables-ptcp-dport80-jDNAT-to-destination–2.2.2.t既可以實現(xiàn)將所有到達設(shè)備1的http訪問請求對應(yīng)的目的地址均修改為對應(yīng)防護應(yīng)用的本地地址信息���,如2.2.2.t�����。進而�����,所述設(shè)備1即能夠順利對到達的訪問請求執(zhí)行后續(xù)的安全防護處理�。在此,本領(lǐng)域技術(shù)人員應(yīng)能理解上述通過DNAT設(shè)置��,對訪問請求的目的地址進行修改僅為舉例�,其他現(xiàn)有的或今后可能出現(xiàn)的基于其他方式對對訪問請求的目的地址進行修改的操作如可適用于本發(fā)明��,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)�����,并在此以引用方式包含于此�����。接著����,所述設(shè)備1的第四裝置14利用所述防護應(yīng)用對所述訪問請求進行安全防護處理�。具體地,所述設(shè)備1的設(shè)置目的包括在所述網(wǎng)絡(luò)應(yīng)用所在設(shè)備之外的其他設(shè)備上對所述網(wǎng)絡(luò)應(yīng)用對應(yīng)的訪問請求進行安全過濾�。在此��,通過防護應(yīng)用對應(yīng)的具體操作���,例如,對所述訪問請求進行解析���、基于解析結(jié)果進行相應(yīng)檢測�����、基于檢測結(jié)果生成匹配的處理操作等�,從而完成對數(shù)據(jù)請 求的安全防護處理����,其中,對于順利通過安全檢測定義為安全的訪問請求����,可以直接將其轉(zhuǎn)發(fā)至對應(yīng)的所述網(wǎng)絡(luò)應(yīng)用,而對于經(jīng)過安全檢測判斷為不安全的訪問請求����,可以執(zhí)行相應(yīng)的攔截、防御等處理操作��。在此,本申請基于待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息在對應(yīng)的網(wǎng)絡(luò)設(shè)備中配置相應(yīng)的牽引策略信息�����,從而將所述網(wǎng)絡(luò)應(yīng)用的訪問請求牽引至所述防護應(yīng)用���,并通過轉(zhuǎn)換所述訪問請求對應(yīng)的目的地址�,在防護應(yīng)用中完成所述訪問請求的安全防護處理�?��;诖?��,本申請不需要修改網(wǎng)絡(luò)應(yīng)用對應(yīng)的DNS(域名系統(tǒng))記錄,實現(xiàn)了對目的地址不是防護應(yīng)用自身地址信息的訪問請求的牽引以及與其相應(yīng)的安全防護處理�����,由于牽引時的目的地址保持為待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息不變����,所以對用戶網(wǎng)站原有的關(guān)鍵指標(biāo)信息沒有影響,例如網(wǎng)絡(luò)應(yīng)用的SEO(搜索引擎優(yōu)化)排名不會受到影響��;同時避免了針對個別網(wǎng)絡(luò)應(yīng)用的一些攻擊波及影響到接入相同防護應(yīng)用的其他網(wǎng)絡(luò)應(yīng)用。圖2示出根據(jù)本申請一個優(yōu)選實施例的一種網(wǎng)絡(luò)應(yīng)用防護設(shè)備的部分裝置的設(shè)備示意圖���。在該優(yōu)選的實施例中�����,所述設(shè)備1的第四裝置14包括第一單元141和第二單元142�。其中第一單元141對所述訪問請求按照組包模式進行解析����,并基于所述防護應(yīng)用中的相應(yīng)檢測規(guī)則,對解析所得結(jié)果進行安全檢測�����;第二單元142根據(jù)對應(yīng)的安全檢測結(jié)果對所述訪問請求進行安全防護處理�����。具體地��,當(dāng)所述設(shè)備1接收到所述訪問請求后�����,例如,接收到一個http訪問請求�,可以先按照http標(biāo)準(zhǔn)協(xié)議規(guī)范,對所述訪問請求對應(yīng)的數(shù)據(jù)包進行逐個字符解析���,例如對請求行部分進行解析�����,如解析http請求的header(頭)部分�����。在此,優(yōu)選利用解析能力較強���、且性能穩(wěn)定的服務(wù)器完成對所述訪問請求的解析�����。解析出的待檢測對象可以包括單個數(shù)據(jù)包請求���,也可以包括組合多個數(shù)據(jù)包請求,在此���,所述第一單元141按照組包模式對所述訪問請求進行解析���,相比于檢測對象粒度較粗的單包檢測�,本方案通過對待檢測對象粒度的優(yōu)化�,從而能夠防護住一些通過組包構(gòu)造的惡意請求,提升整體的防護效果����。當(dāng)解析完所有協(xié)議變量后,為所述訪問請求選擇�、配置所述防護應(yīng)用中相應(yīng)的檢測規(guī)則,然后基于所述檢測規(guī)則對所述 訪問請求進行匹配檢測���。例如�����,根據(jù)目前現(xiàn)有的安全漏洞以及風(fēng)險點���,整理出來相應(yīng)的安全防護規(guī)則,進而針對所述安全防護規(guī)則進行正則多模匹配����,或是字符串匹配�。接著�����,第二單元142基于規(guī)則匹配的結(jié)果��,基于預(yù)先設(shè)定好的防護動作�����,對所述訪問請求進行相對應(yīng)的安全防護處理�。例如,如果所述防護請求匹配中相應(yīng)規(guī)則����,則所述防護請求將不會被轉(zhuǎn)發(fā)至對應(yīng)的網(wǎng)絡(luò)應(yīng)用,而是直接由所述設(shè)備1發(fā)送給對應(yīng)用戶一個提示可能存在危險攻擊的響應(yīng)頁面����;如果所述防護請求未匹配中相應(yīng)規(guī)則���,則默認所述訪問請求安全����,進而將所述訪問請求轉(zhuǎn)發(fā)至對應(yīng)的網(wǎng)絡(luò)應(yīng)用。優(yōu)選地��,當(dāng)所述安全檢測結(jié)果包括安全時����,所述第二單元142將所述訪問請求轉(zhuǎn)發(fā)至所述網(wǎng)絡(luò)應(yīng)用。具體地���,通過所述設(shè)備1對所述訪問請求進行安全檢測過濾掉可能存在安全問題的訪問請求�,同時�����,將通過安全檢測默認安全的訪問請求進一步轉(zhuǎn)發(fā)到真正的網(wǎng)絡(luò)應(yīng)用所在的設(shè)備中���,此時�����,只需要在所述設(shè)備1和所述網(wǎng)絡(luò)應(yīng)用之間建立相應(yīng)的回注路由���,從而順利的將所述訪問請求轉(zhuǎn)發(fā)到所述網(wǎng)絡(luò)應(yīng)用所在的具體設(shè)備中���,從而在所述網(wǎng)絡(luò)應(yīng)用上完成對所述訪問請求的對應(yīng)處理操作。更優(yōu)選地��,所述設(shè)備1還包括第五裝置(未示出)�,所述第五裝置用于建立所述本地地址信息至所述應(yīng)用地址信息的靜態(tài)路由信息;其中�����,當(dāng)所述安全檢測結(jié)果包括安全時����,所述第二單元142基于所述靜態(tài)路由信息將所述訪問請求轉(zhuǎn)發(fā)至所述網(wǎng)絡(luò)應(yīng)用。具體地��,在獲取請求訪問之前�,基于獲取的待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息,所述設(shè)備1的第五裝置預(yù)先在所述設(shè)備1的本地地址信息與所述網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息之間配置相應(yīng)的靜態(tài)回注路由����。在此,所建立的靜態(tài)路由信息可以是為每一個應(yīng)用地址信息配置一個特定的靜態(tài)路由���,即所述應(yīng)用地址信息與所述靜態(tài)路由是一對一的關(guān)系,例如,一個待防護的網(wǎng)絡(luò)應(yīng)用1的應(yīng)用地址信息是1.1.1.z���,則添加的靜態(tài)路由直接是對該IP地址1.1.1.z的牽引����。優(yōu)選地�����,所建立的靜態(tài)路由信息還可以是為多個應(yīng)用地址信息共同配置一個特定的靜態(tài)路由���,即所述應(yīng)用地址信息與所述靜態(tài)路由是多對一的關(guān)系��,例如��,存在待防護的網(wǎng)絡(luò)應(yīng)用1的應(yīng)用地址信息是1.1.1.z����,同時����,還存在待防護的網(wǎng)絡(luò)應(yīng)用2的應(yīng)用地址信息是1.1.1.s,此 時����,可以添加一個C段地址的靜態(tài)路由�,即添加對IP地址1.1.1.0/24的牽引��,則對于對應(yīng)所述網(wǎng)絡(luò)應(yīng)用1和所述網(wǎng)絡(luò)應(yīng)用2的全部訪問請求�����,都會通過所添加的上述C段地址的靜態(tài)路由經(jīng)由所述設(shè)備1傳遞到相應(yīng)網(wǎng)絡(luò)應(yīng)用��。在此���,通過共用靜態(tài)路由的方法����,減少實際所需要部署的靜態(tài)回注路由的數(shù)量�,從而優(yōu)化了資源的配置利用。此外���,還可以為不通過各個所述靜態(tài)路由的其他數(shù)據(jù)流量配置相應(yīng)的默認路由�,從而保證經(jīng)過所述設(shè)備1的各個數(shù)據(jù)流量都有可以適用的路由配置����。此外���,與所述牽引策略信息的驗證操作類似����,在實際應(yīng)用中,也可以對所述設(shè)備1中配置的所述靜態(tài)路由信息進行定期的檢驗�,確保傳遞到所述設(shè)備1的用戶訪問請求可以正常的回注到對應(yīng)的所述網(wǎng)絡(luò)應(yīng)用中;或是����,在用戶訪問所述網(wǎng)絡(luò)應(yīng)用出現(xiàn)故障時,除了對所述牽引策略信息的是否存在進行檢驗之外���,也可以進一步配合的對所述靜態(tài)路由信息的檢測����,例如檢測所述靜態(tài)路由信息是否存在�,進而,通過所述檢測結(jié)果判斷訪問故障的原因����。若是通過相應(yīng)的查詢指令沒有發(fā)現(xiàn)與所述網(wǎng)絡(luò)應(yīng)用對應(yīng)的所述靜態(tài)路由信息,則判斷訪問故障可能是由于回注路由不通暢導(dǎo)致的��,進而對于確定接入所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1的所述網(wǎng)絡(luò)應(yīng)用,進行所述本地地址信息至所述應(yīng)用地址信息的靜態(tài)路由信息的添加�����。接著����,在所述設(shè)備1本地進行相應(yīng)安全檢測、并被判斷安全的訪問請求����,將會基于預(yù)先設(shè)置并功能正常的所述靜態(tài)路由信息轉(zhuǎn)發(fā)至所述網(wǎng)絡(luò)應(yīng)用所在的相應(yīng)設(shè)備。優(yōu)選地����,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1還包括第六裝置(未示出)和第七裝置(未示出),其中����,所述第六裝置接收所述網(wǎng)絡(luò)應(yīng)用對所述訪問請求的響應(yīng)信息;所述第七裝置將所述響應(yīng)信息轉(zhuǎn)發(fā)至所述訪問請求的對應(yīng)用戶����。具體地,通過所述靜態(tài)路由信息到達對應(yīng)網(wǎng)絡(luò)應(yīng)用的訪問請求,將會在所述網(wǎng)絡(luò)應(yīng)用對應(yīng)的設(shè)備中完成對應(yīng)的請求處理操作����,由于所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1是基于自身設(shè)備對應(yīng)的應(yīng)用地址信息,如IP地址信息�,與訪問請求對應(yīng)的實際網(wǎng)絡(luò)應(yīng)用建立代理連接的,所以所述訪問請求的處理結(jié)果對應(yīng)的數(shù)據(jù)流量��,其目的地址信息為所述設(shè)備1的本地地址信息�����,進 而所述響應(yīng)信息會首先返回所述設(shè)備1�。在此�,所述設(shè)備1的第六裝置用于接收所述網(wǎng)絡(luò)應(yīng)用對所述訪問請求的響應(yīng)信息。接著���,所述第七裝置將接收到的所述響應(yīng)信息通過所述網(wǎng)絡(luò)設(shè)備�����,再發(fā)送至所述訪問請求的對應(yīng)用戶��。優(yōu)選地���,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1還包括第八裝置(未示出)�����,所述第八裝置將所述訪問請求的源地址信息作為所述響應(yīng)信息的目的地址信息�����;其中��,所述第七裝置根據(jù)所述響應(yīng)信息的目的地址信息將所述響應(yīng)信息轉(zhuǎn)發(fā)至所述訪問請求的對應(yīng)用戶��。具體地����,在此�,所述設(shè)備1在所述訪問請求獲取、處理�����、轉(zhuǎn)發(fā)�、接收并轉(zhuǎn)發(fā)響應(yīng)等一系列進程中,所述防護應(yīng)用對應(yīng)的記錄會保持所述設(shè)備1與所述訪問請求對應(yīng)的用戶設(shè)備的會話連接開啟狀態(tài)����,所以對于來自所述網(wǎng)絡(luò)設(shè)備的響應(yīng)信息����,可以清楚的確定該響應(yīng)信息對應(yīng)的源地址信息���,進而����,將所述訪問請求的源地址信息作為所述響應(yīng)信息的目的地址信息���,就可以將所接收到的、來自所述網(wǎng)絡(luò)應(yīng)用的響應(yīng)信息順利的轉(zhuǎn)發(fā)到所述訪問請求的對應(yīng)用戶�����。圖3示出根據(jù)本申請另一個方面的一種網(wǎng)絡(luò)應(yīng)用防護方法流程圖��。其中����,在步驟S31中,所述設(shè)備1根據(jù)待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息在網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息����;在步驟S32中����,所述設(shè)備1接收所述網(wǎng)絡(luò)設(shè)備基于所述牽引策略信息所牽引的關(guān)于所述網(wǎng)絡(luò)應(yīng)用的訪問請求�,其中,所述訪問請求的目的地址為所述應(yīng)用地址信息��;在步驟S33中�,所述設(shè)備1將所述訪問請求中的目的地址轉(zhuǎn)換為對應(yīng)防護應(yīng)用的本地地址信息;在步驟S34中��,所述設(shè)備1利用所述防護應(yīng)用對所述訪問請求進行安全防護處理�����。具體地����,在步驟S31中,所述設(shè)備1根據(jù)待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息在網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息�。此時,所述待防護的網(wǎng)絡(luò)應(yīng)用是用戶訪問請求對應(yīng)的真實網(wǎng)絡(luò)應(yīng)用����。所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1上可能同時接入了若干個待防護的網(wǎng)絡(luò)應(yīng)用�����。在此����,優(yōu)選地�,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1獨立于各個待防護的網(wǎng)絡(luò)應(yīng)用所對應(yīng)的各個設(shè)備而存在,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1可以是云端設(shè)備���。其中��,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1可以 包括一個相應(yīng)設(shè)備��,也可以包括由多個具有相同網(wǎng)絡(luò)應(yīng)用防護功能的設(shè)備組成的設(shè)備集群�。所述應(yīng)用地址信息包括待防護的網(wǎng)絡(luò)應(yīng)用所在設(shè)備對應(yīng)的IP地址信息����。所述網(wǎng)絡(luò)設(shè)備包括相應(yīng)的網(wǎng)絡(luò)連接設(shè)備��,如路由器���,例如��,所述網(wǎng)絡(luò)設(shè)備對應(yīng)于所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1所在機房的核心路由器�。在所述網(wǎng)絡(luò)設(shè)備中配置所述牽引策略信息包括添加相應(yīng)的牽引路由,如BGP(邊界網(wǎng)關(guān)協(xié)議)牽引路由���。例如���,基于已知的所述網(wǎng)絡(luò)應(yīng)用的IP地址信息,在所述核心路由器中添加與該IP地址相關(guān)聯(lián)的靜態(tài)路由��,進而一旦所述網(wǎng)絡(luò)設(shè)備接收到對應(yīng)所述IP地址的訪問請求�,則可以啟動相應(yīng)的靜態(tài)路由。優(yōu)選地���,在步驟S31中�,所述方法包括子步驟S311(未示出)和子步驟S312(未示出)�。其中,在所述子步驟S311中����,所述設(shè)備1獲取待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息;在所述子步驟S312中�����,所述設(shè)備1基于所述應(yīng)用地址信息,向所述網(wǎng)絡(luò)設(shè)備發(fā)出牽引配置指令�,以在所述網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息。具體地�����,在所述子步驟S311中�����,所述設(shè)備1獲取待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息����。在此,優(yōu)選地�����,對于已經(jīng)與所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1建立連接關(guān)系的待防護的網(wǎng)絡(luò)應(yīng)用����,會將其所在設(shè)備對應(yīng)的應(yīng)用地址信息��、域名信息����、相對應(yīng)的DNS記錄信息等數(shù)據(jù)信息進行相應(yīng)的存儲�����。當(dāng)開啟所述防護應(yīng)用時����,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1會首先從存儲設(shè)備中讀取預(yù)先存儲的待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息等數(shù)據(jù)��,此時�,可以一次性讀取多個或全部待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息。接著���,在所述子步驟S312中����,所述設(shè)備1基于所獲取的應(yīng)用地址信息�,如IP地址信息,向與之對應(yīng)的核心路由器發(fā)出牽引配置指令�����。以BGP牽引指令為例���,假設(shè)所述設(shè)備1獲取的待防護的網(wǎng)絡(luò)應(yīng)用A的設(shè)備IP信息為1.1.1.x�����,進而向與所述設(shè)備1對應(yīng)的核心路由器發(fā)送牽引配置指令:network1.1.1.x���,從而在所述核心路由器與所述設(shè)備1之間添加了對應(yīng)的靜態(tài)路由�,進而實現(xiàn)與此IP信息相對應(yīng)的訪問請求經(jīng)由所述靜態(tài)路由完成數(shù)據(jù)的傳送���。在此����,本領(lǐng)域技術(shù)人員應(yīng)能理解上述BGP牽引指令僅為舉例���,其他 現(xiàn)有的或今后可能出現(xiàn)的基于其他協(xié)議對應(yīng)的牽引指令如可適用于本發(fā)明����,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)��,并在此以引用方式包含于此�。優(yōu)選地,在步驟S31中����,所述方法包括子步驟S313(未示出),在所述子步驟S313中��,所述設(shè)備1獲取關(guān)于防護應(yīng)用的啟用操作信息時����,根據(jù)待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息在網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息。具體地�����,在此����,對于所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1,可以通過一鍵開啟等方式啟動相應(yīng)的防護應(yīng)用�����,可以是基于所述設(shè)備1的管理平臺定時啟動���,或是基于接入設(shè)備1的各個網(wǎng)絡(luò)應(yīng)用的請求而啟動所述防護應(yīng)用�����,當(dāng)獲取了所述啟用操作信息后����,所述設(shè)備1將會基于設(shè)置,自動讀取接入網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息�����、域名信息�、相對應(yīng)的DNS記錄信息等數(shù)據(jù)信息,并進一步�����,基于所述應(yīng)用地址信息在網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息��。相比于現(xiàn)有的云WAF技術(shù)����,例如,相比于現(xiàn)有CNAME-WAF模式中需要通過人工操作修改DNS記錄�,并需要經(jīng)歷不可估計的DNS生效時間,本申請基于所述啟用操作信息��,可以實現(xiàn)所述網(wǎng)絡(luò)應(yīng)用自動化接入相應(yīng)的防護設(shè)備,無需人工干預(yù)�����,并且接入流程更為簡單��。優(yōu)選地��,在步驟S31中���,所述方法包括子步驟S314(未示出)和子步驟S315(未示出)。其中�,在所述子步驟S314中,所述設(shè)備1根據(jù)待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息��,向網(wǎng)絡(luò)設(shè)備發(fā)送牽引策略查詢指令�����;在所述子步驟S315中�,所述設(shè)備1當(dāng)對應(yīng)的策略查詢結(jié)果為空時,在所述網(wǎng)絡(luò)設(shè)備中配置對應(yīng)的牽引策略信息���。具體地���,在實際應(yīng)用中�����,可以對于所述設(shè)備1在所述網(wǎng)絡(luò)設(shè)備中配置的牽引策略信息的情況進行定期的檢驗�,確保用戶的訪問請求���,如數(shù)據(jù)流量可以正常的牽引到所述設(shè)備1��?����;蚴?�,優(yōu)選地����,在用戶訪問網(wǎng)絡(luò)應(yīng)用出現(xiàn)訪問故障時����,也可以即時對所述配置的牽引策略信息進行驗證排查,以驗證基于所述網(wǎng)絡(luò)應(yīng)用對應(yīng)的應(yīng)用地址信息�����,在所述網(wǎng)絡(luò)設(shè)備上是否存在相應(yīng)的牽引策略,若是檢驗結(jié)果不存在�����,則對于確定接入所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1的所述網(wǎng)絡(luò)應(yīng)用���,進行對應(yīng)的牽引策略信息的添加。在此���,當(dāng)需要進行所述驗證時�����,所述第六單元將根據(jù)待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信 息�����,如網(wǎng)絡(luò)應(yīng)用對應(yīng)設(shè)備的IP地址信息���,向網(wǎng)絡(luò)設(shè)備發(fā)送牽引策略查詢指令。以牽引策略為BGP牽引為例��,此時,可以從所述設(shè)備1向所述網(wǎng)絡(luò)設(shè)備��,如核心路由器發(fā)送BGP牽引查詢指令:showipbgp�����。在此�����,所述ip即為當(dāng)前需要驗證的牽引策略信息對應(yīng)的應(yīng)用地址信息����,如所述ip為待防護的網(wǎng)絡(luò)應(yīng)用B的設(shè)備IP信息1.1.1.y。若是所述BGP牽引記錄查詢結(jié)果為空����,則所述第七單元則會調(diào)用相應(yīng)的BGP命令,在所述網(wǎng)絡(luò)設(shè)備中添加相應(yīng)的牽引策略信息���,例如�����,所述設(shè)備1向?qū)?yīng)的核心路由器發(fā)送牽引配置指令:network1.1.1.y��,添加相應(yīng)的牽引路由��。此外���,對于已經(jīng)建立�����,但是不再需要的牽引策略信息���,也可以根據(jù)需要予以取消,以牽引策略為BGP牽引為例��,例如����,所述設(shè)備1向所述網(wǎng)絡(luò)設(shè)備發(fā)送指令:nonetwork1.1.1.y��,即可以取消已存在的IP信息1.1.1.y的牽引策略信息�����。對于以不再需要的牽引策略�����,或是預(yù)計較長時間內(nèi)不再需要的牽引策略定期進行刪除,可以優(yōu)化對所述牽引策略信息的管理�,減少數(shù)據(jù)冗余。在此���,本領(lǐng)域技術(shù)人員應(yīng)能理解上述BGP牽引查詢指令僅為舉例��,其他現(xiàn)有的或今后可能出現(xiàn)的基于其他協(xié)議對應(yīng)的牽引查詢指令如可適用于本發(fā)明���,也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此���。接著����,在步驟S32中�����,所述設(shè)備1接收所述網(wǎng)絡(luò)設(shè)備基于所述牽引策略信息所牽引的關(guān)于所述網(wǎng)絡(luò)應(yīng)用的訪問請求�����,其中,所述訪問請求的目的地址為所述應(yīng)用地址信息�。具體地,基于所述網(wǎng)絡(luò)設(shè)備牽引而來的訪問請求可以直接來源于用戶的訪問操作�����,例如��,當(dāng)用戶訪問所述網(wǎng)絡(luò)應(yīng)用時����,會輸入所述網(wǎng)絡(luò)應(yīng)用的對應(yīng)的域名信息,基于所述網(wǎng)絡(luò)應(yīng)用對應(yīng)的DNS記錄�����,解析域名為對應(yīng)的的IP地址信息�,所述IP地址信息即為此時用戶訪問請求的目的地址���。進而�,所述網(wǎng)絡(luò)設(shè)備�����,如核心路由器,會判斷所述用戶訪問請求對應(yīng)的IP地址信息在其上是否有對應(yīng)的牽引策略信息�,如相應(yīng)的靜態(tài)牽引路由,若是存在�,則基于所述牽引路由,所述訪問請求便傳遞了到所述設(shè)備1�����,此時��,所述設(shè)備1即接收到了目的地址不為設(shè)備1自身應(yīng)用地址信息的訪問 請求�。接著,在步驟S33中���,所述設(shè)備1將所述訪問請求中的目的地址轉(zhuǎn)換為對應(yīng)防護應(yīng)用的本地地址信息��。具體地���,所述設(shè)備1接收到的訪問請求,其訪問請求的目的地址對應(yīng)于實際訪問的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息���,若是要進一步在所述設(shè)備1上完成安全防護處理等操作���,需要在所述設(shè)備1上對所述訪問請求的目的地址進行相應(yīng)替換����,基于轉(zhuǎn)換后的設(shè)備1的本地地址信息才可以順利地啟用相應(yīng)的安全防護應(yīng)用��。優(yōu)選地���,通過DNAT(目的地址轉(zhuǎn)換)設(shè)置��,對訪問請求的目的地址進行修改�����,并且保存修改前后的映射關(guān)系�,使得可以根據(jù)需要進行還原操作�����。在此�,可以通過iptables命令,對所述設(shè)備1進行DNAT設(shè)置�����,例如�����,通過執(zhí)行命令:iptables-ptcp-dport80-jDNAT-to-destination–2.2.2.t既可以實現(xiàn)將所有到達設(shè)備1的http訪問請求對應(yīng)的目的地址均修改為對應(yīng)防護應(yīng)用的本地地址信息��,如2.2.2.t�����。進而����,所述設(shè)備1即能夠順利對到達的訪問請求執(zhí)行后續(xù)的安全防護處理。在此��,本領(lǐng)域技術(shù)人員應(yīng)能理解上述通過DNAT設(shè)置�����,對訪問請求的目的地址進行修改僅為舉例��,其他現(xiàn)有的或今后可能出現(xiàn)的基于其他方式對對訪問請求的目的地址進行修改的操作如可適用于本發(fā)明���,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)����,并在此以引用方式包含于此。接著���,在步驟S34中�,所述設(shè)備1利用所述防護應(yīng)用對所述訪問請求進行安全防護處理��。具體地��,所述設(shè)備1的設(shè)置目的包括在所述網(wǎng)絡(luò)應(yīng)用所在設(shè)備之外的其他設(shè)備上對所述網(wǎng)絡(luò)應(yīng)用對應(yīng)的訪問請求進行安全過濾�����。在此�,通過防護應(yīng)用對應(yīng)的具體操作,例如��,對所述訪問請求進行解析���、基于解析結(jié)果進行相應(yīng)檢測��、基于檢測結(jié)果生成匹配的處理操作等�����,從而完成對數(shù)據(jù)請求的安全防護處理���,其中,對于順利通過安全檢測定義為安全的訪問請求����,可以直接將其轉(zhuǎn)發(fā)至對應(yīng)的所述網(wǎng)絡(luò)應(yīng)用,而對于經(jīng)過安全檢測判斷為不安全的訪問請求����,可以執(zhí)行相應(yīng)的攔截、防御等處理操作��。在此��,本申請基于待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息在對應(yīng)的網(wǎng)絡(luò)設(shè) 備中配置相應(yīng)的牽引策略信息��,從而將所述網(wǎng)絡(luò)應(yīng)用的訪問請求牽引至所述防護應(yīng)用�����,并通過轉(zhuǎn)換所述訪問請求對應(yīng)的目的地址��,在防護應(yīng)用中完成所述訪問請求的安全防護處理�?����;诖?,本申請不需要修改網(wǎng)絡(luò)應(yīng)用對應(yīng)的DNS(域名系統(tǒng))記錄��,實現(xiàn)了對目的地址不是防護應(yīng)用自身地址信息的訪問請求的牽引以及與其相應(yīng)的安全防護處理���,由于牽引時的目的地址保持為待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息不變�����,所以對用戶網(wǎng)站原有的關(guān)鍵指標(biāo)信息沒有影響����,例如網(wǎng)絡(luò)應(yīng)用的SEO(搜索引擎優(yōu)化)排名不會受到影響���;同時避免了針對個別網(wǎng)絡(luò)應(yīng)用的一些攻擊波及影響到接入相同防護應(yīng)用的其他網(wǎng)絡(luò)應(yīng)用��。圖4示出根據(jù)本申請一個優(yōu)選實施例的一種網(wǎng)絡(luò)應(yīng)用防護方法的部分流程圖�����。在該優(yōu)選的實施例中��,在步驟S34中����,所述方法包括子步驟S341和子步驟S342。其中�,在子步驟S341中����,所述設(shè)備1對所述訪問請求按照組包模式進行解析,并基于所述防護應(yīng)用中的相應(yīng)檢測規(guī)則�����,對解析所得結(jié)果進行安全檢測��;在子步驟S342中�,所述設(shè)備1根據(jù)對應(yīng)的安全檢測結(jié)果對所述訪問請求進行安全防護處理。具體地��,當(dāng)所述設(shè)備1接收到所述訪問請求后����,例如,接收到一個http訪問請求���,可以先按照http標(biāo)準(zhǔn)協(xié)議規(guī)范����,對所述訪問請求對應(yīng)的數(shù)據(jù)包進行逐個字符解析,例如對請求行部分進行解析���,如解析http請求的header(頭)部分�����。在此�����,優(yōu)選利用解析能力較強��、且性能穩(wěn)定的服務(wù)器完成對所述訪問請求的解析����。解析出的待檢測對象可以包括單個數(shù)據(jù)包請求��,也可以包括組合多個數(shù)據(jù)包請求����,在此���,在子步驟S341中,所述設(shè)備1按照組包模式對所述訪問請求進行解析����,相比于檢測對象粒度較粗的單包檢測,本方案通過對待檢測對象粒度的優(yōu)化����,從而能夠防護住一些通過組包構(gòu)造的惡意請求�,提升整體的防護效果。當(dāng)解析完所有協(xié)議變量后���,為所述訪問請求選擇����、配置所述防護應(yīng)用中相應(yīng)的檢測規(guī)則����,然后基于所述檢測規(guī)則對所述訪問請求進行匹配檢測。例如��,根據(jù)目前現(xiàn)有的安全漏洞以及風(fēng)險點�����,整理出來相應(yīng)的安全防護規(guī)則,進而針對所述安全防護規(guī)則進行正則多模匹配��,或是字符串匹配��。接著��,在子步驟S342中���,所述設(shè)備1基于規(guī)則匹配的結(jié)果���,基于預(yù)先設(shè)定好的防護動作,對所述訪問請求進行 相對應(yīng)的安全防護處理���。例如�,如果所述防護請求匹配中相應(yīng)規(guī)則�����,則所述防護請求將不會被轉(zhuǎn)發(fā)至對應(yīng)的網(wǎng)絡(luò)應(yīng)用�,而是直接由所述設(shè)備1發(fā)送給對應(yīng)用戶一個提示可能存在危險攻擊的響應(yīng)頁面;如果所述防護請求未匹配中相應(yīng)規(guī)則,則默認所述訪問請求安全���,進而將所述訪問請求轉(zhuǎn)發(fā)至對應(yīng)的網(wǎng)絡(luò)應(yīng)用�����。優(yōu)選地�,在子步驟S342中��,當(dāng)所述安全檢測結(jié)果包括安全時�����,所述設(shè)備1將所述訪問請求轉(zhuǎn)發(fā)至所述網(wǎng)絡(luò)應(yīng)用��。具體地�����,通過所述設(shè)備1對所述訪問請求進行安全檢測過濾掉可能存在安全問題的訪問請求�,同時��,將通過安全檢測默認安全的訪問請求進一步轉(zhuǎn)發(fā)到真正的網(wǎng)絡(luò)應(yīng)用所在的設(shè)備中�����,此時,只需要在所述設(shè)備1和所述網(wǎng)絡(luò)應(yīng)用之間建立相應(yīng)的回注路由��,從而順利的將所述訪問請求轉(zhuǎn)發(fā)到所述網(wǎng)絡(luò)應(yīng)用所在的具體設(shè)備中�,從而在所述網(wǎng)絡(luò)應(yīng)用上完成對所述訪問請求的對應(yīng)處理操作。更優(yōu)選地�����,所述方法還包括步驟S35(未示出)�,在步驟S35中,所述設(shè)備1用于建立所述本地地址信息至所述應(yīng)用地址信息的靜態(tài)路由信息�����;其中�����,在子步驟S342中���,當(dāng)所述安全檢測結(jié)果包括安全時����,所述設(shè)備1基于所述靜態(tài)路由信息將所述訪問請求轉(zhuǎn)發(fā)至所述網(wǎng)絡(luò)應(yīng)用。具體地��,在獲取請求訪問之前�,基于獲取的待防護的網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息,所述設(shè)備1預(yù)先在所述設(shè)備1的本地地址信息與所述網(wǎng)絡(luò)應(yīng)用的應(yīng)用地址信息之間配置相應(yīng)的靜態(tài)回注路由�。在此,所建立的靜態(tài)路由信息可以是為每一個應(yīng)用地址信息配置一個特定的靜態(tài)路由��,即所述應(yīng)用地址信息與所述靜態(tài)路由是一對一的關(guān)系��,例如�����,一個待防護的網(wǎng)絡(luò)應(yīng)用1的應(yīng)用地址信息是1.1.1.z�,則添加的靜態(tài)路由直接是對該IP地址1.1.1.z的牽引。優(yōu)選地���,所建立的靜態(tài)路由信息還可以是為多個應(yīng)用地址信息共同配置一個特定的靜態(tài)路由,即所述應(yīng)用地址信息與所述靜態(tài)路由是多對一的關(guān)系���,例如��,存在待防護的網(wǎng)絡(luò)應(yīng)用1的應(yīng)用地址信息是1.1.1.z����,同時,還存在待防護的網(wǎng)絡(luò)應(yīng)用2的應(yīng)用地址信息是1.1.1.s����,此時,可以添加一個C段地址的靜態(tài)路由����,即添加對IP地址1.1.1.0/24的牽引,則對于對應(yīng)所述網(wǎng)絡(luò)應(yīng)用1和所述網(wǎng)絡(luò)應(yīng)用2的全部訪問請求����,都會通過所添加的上述C段地址的靜態(tài)路由經(jīng)由所述設(shè)備1傳遞到相應(yīng)網(wǎng)絡(luò)應(yīng)用。在此����, 通過共用靜態(tài)路由的方法,減少實際所需要部署的靜態(tài)回注路由的數(shù)量���,從而優(yōu)化了資源的配置利用���。此外,還可以為不通過各個所述靜態(tài)路由的其他數(shù)據(jù)流量配置相應(yīng)的默認路由�,從而保證經(jīng)過所述設(shè)備1的各個數(shù)據(jù)流量都有可以適用的路由配置�。此外���,與所述牽引策略信息的驗證操作類似��,在實際應(yīng)用中�����,也可以對所述設(shè)備1中配置的所述靜態(tài)路由信息進行定期的檢驗��,確保傳遞到所述設(shè)備1的用戶訪問請求可以正常的回注到對應(yīng)的所述網(wǎng)絡(luò)應(yīng)用中��;或是����,在用戶訪問所述網(wǎng)絡(luò)應(yīng)用出現(xiàn)故障時��,除了對所述牽引策略信息的是否存在進行檢驗之外��,也可以進一步配合的對所述靜態(tài)路由信息的檢測��,例如檢測所述靜態(tài)路由信息是否存在���,進而���,通過所述檢測結(jié)果判斷訪問故障的原因。若是通過相應(yīng)的查詢指令沒有發(fā)現(xiàn)與所述網(wǎng)絡(luò)應(yīng)用對應(yīng)的所述靜態(tài)路由信息�����,則判斷訪問故障可能是由于回注路由不通暢導(dǎo)致的���,進而對于確定接入所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1的所述網(wǎng)絡(luò)應(yīng)用�����,進行所述本地地址信息至所述應(yīng)用地址信息的靜態(tài)路由信息的添加�。接著��,在所述設(shè)備1本地進行相應(yīng)安全檢測�����、并被判斷安全的訪問請求�����,將會基于預(yù)先設(shè)置并功能正常的所述靜態(tài)路由信息轉(zhuǎn)發(fā)至所述網(wǎng)絡(luò)應(yīng)用所在的相應(yīng)設(shè)備�����。優(yōu)選地,所述方法還包括步驟S36(未示出)和步驟S37(未示出)其中���,在步驟S36中�,所述設(shè)備1接收所述網(wǎng)絡(luò)應(yīng)用對所述訪問請求的響應(yīng)信息����;在步驟S37中,所述設(shè)備1將所述響應(yīng)信息轉(zhuǎn)發(fā)至所述訪問請求的對應(yīng)用戶�。具體地,通過所述靜態(tài)路由信息到達對應(yīng)網(wǎng)絡(luò)應(yīng)用的訪問請求����,將會在所述網(wǎng)絡(luò)應(yīng)用對應(yīng)的設(shè)備中完成對應(yīng)的請求處理操作,由于所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1是基于自身設(shè)備對應(yīng)的應(yīng)用地址信息����,如IP地址信息,與訪問請求對應(yīng)的實際網(wǎng)絡(luò)應(yīng)用建立代理連接的�,所以所述訪問請求的處理結(jié)果對應(yīng)的數(shù)據(jù)流量,其目的地址信息為所述設(shè)備1的本地地址信息��,進而所述響應(yīng)信息會首先返回所述設(shè)備1。在此����,在步驟S36中����,所述設(shè)備1用于接收所述網(wǎng)絡(luò)應(yīng)用對所述訪問請求的響應(yīng)信息。接著��,所述第七裝置將接收到的所述響應(yīng)信息通過所述網(wǎng)絡(luò)設(shè)備���,再發(fā)送至所述訪問請求的 對應(yīng)用戶�����。優(yōu)選地�,所述方法還包括步驟S38(未示出)���,在步驟S38中�����,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1將所述訪問請求的源地址信息作為所述響應(yīng)信息的目的地址信息����;其中,在步驟S37中�,所述網(wǎng)絡(luò)應(yīng)用防護設(shè)備1根據(jù)所述響應(yīng)信息的目的地址信息將所述響應(yīng)信息轉(zhuǎn)發(fā)至所述訪問請求的對應(yīng)用戶。具體地��,在此�,所述設(shè)備1在所述訪問請求獲取、處理�、轉(zhuǎn)發(fā)、接收并轉(zhuǎn)發(fā)響應(yīng)等一系列進程中�,所述防護應(yīng)用對應(yīng)的記錄會保持所述設(shè)備1與所述訪問請求對應(yīng)的用戶設(shè)備的會話連接開啟狀態(tài),所以對于來自所述網(wǎng)絡(luò)設(shè)備的響應(yīng)信息����,可以清楚的確定該響應(yīng)信息對應(yīng)的源地址信息,進而�,將所述訪問請求的源地址信息作為所述響應(yīng)信息的目的地址信息,就可以將所接收到的����、來自所述網(wǎng)絡(luò)應(yīng)用的響應(yīng)信息順利的轉(zhuǎn)發(fā)到所述訪問請求的對應(yīng)用戶。對于本領(lǐng)域技術(shù)人員而言�����,顯然本申請不限于上述示范性實施例的細節(jié),而且在不背離本申請的精神或基本特征的情況下�,能夠以其他的具體形式實現(xiàn)本申請。因此�����,無論從哪一點來看���,均應(yīng)將實施例看作是示范性的,而且是非限制性的��,本申請的范圍由所附權(quán)利要求而不是上述說明限定�����,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化涵括在本申請內(nèi)���。不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求�����。此外�����,顯然“包括”一詞不排除其他單元或步驟���,單數(shù)不排除復(fù)數(shù)。裝置權(quán)利要求中陳述的多個單元或裝置也可以由一個單元或裝置通過軟件或者硬件來實現(xiàn)���。第一����,第二等詞語用來表示名稱����,而并不表示任何特定的順序。當(dāng)前第1頁1 2 3 當(dāng)前第1頁1 2 3