【摘要】：Web應用防火墻(Web Application Firewall,WAF)是專門針對Web應用的安全解決方案。它將安全與業(yè)務隔離,降低了因Web應用攻擊帶來的損失和網(wǎng)站安全開發(fā)的成本。隨著互聯(lián)網(wǎng)的發(fā)展,各企業(yè)業(yè)務體量的增加,除防御傳統(tǒng)Web應用攻擊外,他們還需要阻止爬蟲抓取網(wǎng)站內容和“薅羊毛”等惡意訪問。面對惡意訪問,企業(yè)往往通過在Web應用中添加檢測代碼來進行防御。但這樣做會增加業(yè)務功能與安全功能的耦合,而且增刪檢測代碼需要重新驗證和部署Web應用,這些都增加了Web應用的維護成本。同時進行檢測往往需要在全站范圍內對符合條件的訪問進行篩選和統(tǒng)計,Web應用往往采用Web服務器集群的模式工作,添加此功能會不可避免地帶來架構復雜性和開發(fā)成本。本文的主要目的是針對惡意訪問防護,提出基于Web應用防火墻使用自定義腳本進行擴展的解決方案:企業(yè)根據(jù)安全需求編寫檢測腳本并交由Web應用防火墻運行,以進行訪問統(tǒng)計和執(zhí)行安全防護操作(如封禁、報警等)。流量處理模塊是Web應用防火墻中實現(xiàn)該解決方案的主要模塊。不同Web應用具有不同的業(yè)務體量,其實時負載也在變化中,因此本文設計了具有可伸縮性流量處理模塊,使得企業(yè)還可以動態(tài)增減Web防火墻中流量處理模塊節(jié)點的部署,達到處理性能與成本的權衡。本文的主要工作是對Web應用防火墻中流量處理模塊進行設計與實現(xiàn)。本文介紹了國內外對于惡意訪問防護解決方案的現(xiàn)狀,引出本文解決方案;闡述了實現(xiàn)流量處理模塊所需的相關技術及選用理由;分析了流量處理模塊的功能需求,并結合行業(yè)標準考慮了可伸縮性,性能和安全性(Security)等非功能需求;設計了流量處理模塊的體系結構并描述了其與Web應用防火墻其他組件的交互;對流量處理模塊的流處理模塊、插件模塊和節(jié)點接口模塊進行設計與實現(xiàn),并展示了他們如何利用相關技術滿足功能需求與非功能需求;最后對本文現(xiàn)階段工作進行了總結,提出了該解決方案下一階段可以開展的工作方向。企業(yè)使用基于本文解決方案設計的Web應用防火墻,可以在保持Web應用中安全與業(yè)務的隔離,使得Web應用在不需要重新部署和不變更原來的架構的前提下,獲得所需的自定義安全防護功能。
【圖文】：

圖３．１描述問題域的用例圖逡逑如圖３．１描述了流量處理模塊的問題域用例。流量處理模塊的主要涉眾及其逡逑主要期待有：逡逑（１）ＷＡＦ定制者：根據(jù)自己網(wǎng)站的實際情況制訂安全策略，擴展Ｗｅｂ應用逡逑防火墻，使得防火墻除了一般的檢測和過濾功能外，還有自定義封禁、限頻功能，逡逑基于Ｓｙｓｌｏｇ的告警功能等。逡逑（２）邐ＷＡＦ管理員：實時監(jiān)控網(wǎng)站的動向，包括當前網(wǎng)站的流量，受到攻擊次逡逑數(shù)等信息，以便作出合適的應對策略。他們希望Ｗｅｂ應用防火墻能提供網(wǎng)站的逡逑實時監(jiān)控信息，，收到他們關注的報警，以及在網(wǎng)站訪問峰值和訪問谷值時動態(tài)增逡逑刪流量處理節(jié)點，以節(jié)約網(wǎng)站的運營成本。逡逑對問題域中的需求進行描述，得到問題域用例詳細描述如表３．１所示。逡逑表３．１對問題域用例的詳細描述逡逑用例編號｜邐用例名稱邐用例詳細描述逡逑－

南京大學碩士論文邐第三章需求分析與體系結構設計逡逑并映射組件、連接件為開發(fā)包，組成開發(fā)視圖（ＤｅｖｅｌｏｐｍｅｎｔＶｉｅｗ）。逡逑３．同時從邏輯視圖的角度出發(fā)，考慮系統(tǒng)進程間的交互方式，映射多個組逡逑件為進程，接口連接配置為進程間通信，組成進程視圖（Ｐｒｏｃｅｓｓ邋Ｖｉｅｗ）。逡逑４．最后從開發(fā)視圖和進程視圖出發(fā)，考慮將軟件構件部署在節(jié)點上運行，逡逑構建部署視圖（Ｄｅｐｌｏｙｍｅｎｔ邋Ｖｉｅｗ）。逡逑５．從先前收集的一些關鍵場景和用例，驗證體系結構設計的有效性，構建逡逑場景視圖（Ｓｃｅｎａｒｉｏ邋Ｖｉｅｗ）。逡逑３．５．１邏輯視圖：部件和連接件逡逑ｐｋｇＴｒａｆｆｉｃＭｏｄｕｌｅ．ＣｏｍｐｏｎｅｎｔＣｏｎｎｅｃｔｏｒ
【學位授予單位】：南京大學
【學位級別】：碩士
【學位授予年份】：2019
【分類號】：TP393.08

【相似文獻】

相關期刊論文 前10條

1 吳杰;徐駿善;;地鐵自動售檢票系統(tǒng)中票務處理模塊的設計[J];城市軌道交通研究;2013年11期

2 吳振宇;劉網(wǎng)扣;顧華年;;燃氣輪機空氣處理模塊的國產(chǎn)化[J];發(fā)電設備;2013年05期

3 郭京;沈華;張曉曦;高毅;亢曉麗;;一種小型化低功耗的機載處理模塊設計[J];航空計算技術;2018年05期

4 彭飛,張躍,肖會兵;數(shù)字電視中多信號源處理模塊的設計與實現(xiàn)[J];中國有線電視;2003年15期

5 常秀清;阮軍洲;;基于MCIMX6Q6AVT10AC的通用處理模塊硬件設計[J];計算機與網(wǎng)絡;2016年05期

6 楚要欽;賀瑩;吳翼虎;;一種機載顯控系統(tǒng)高集成度通用處理模塊設計[J];電子技術;2013年07期

7 劉崇治;鮮輝;;基于TMS34020的圖形顯示處理模塊的設計[J];電子產(chǎn)品世界;2007年07期

8 劉崇治;鮮輝;;基于TMS34020的圖形顯示處理模塊的設計[J];電腦知識與技術(學術交流);2007年10期

9 蘭秀芹;;MIPv6的擴展頭和移動頭處理模塊設計研究[J];福建電腦;2013年08期

10 李鴻;龍小波;譚懷忠;;UHF RFID系統(tǒng)讀寫器控制處理模塊硬件設計綜述[J];山西電子技術;2015年03期

相關會議論文 前2條

1 孫玉琦;張凱;王曉龍;徐志明;;基于規(guī)則和統(tǒng)計相結合的多音字研究[A];第五屆全國人機語音通訊學術會議（NCMMSC1998）論文集[C];1998年

2 孫捷;任德昊;付琳;;一種高性能多功能STM-1定時接收監(jiān)測器的設計[A];四川省通信學會2006年學術年會論文集（一）[C];2006年

相關重要報紙文章 前7條

1 ;草谷集團推出處理模塊[N];中國電子報;2001年

2 記者馮欣 通訊員韋萬春;開發(fā)簡單實用信息處理模塊[N];南寧日報;2012年

3 高嵐;X40防火墻直追NetScreen5200[N];中國計算機報;2003年

4 王新榮;百變不離其宗[N];中國信息化周報;2015年

5 本報記者 王璐;柜員機市場洋品牌迷信 亟待破除[N];金融時報;2004年

6 本報記者 邊歆;此UTM非彼UTM[N];網(wǎng)絡世界;2008年

7 田進糧;新收寄系統(tǒng)核賬處理的操作要點[N];中國郵政報;2015年

相關博士學位論文 前2條

1 王俊;全數(shù)字式高分辨率SAR實時處理機研究[D];北京航空航天大學;2001年

2 開毅;低功耗核心路由器設計的關鍵技術的研究[D];清華大學;2013年

相關碩士學位論文 前10條

1 羅浩然;Web應用防火墻中流量處理模塊的設計與實現(xiàn)[D];南京大學;2019年

2 趙國柱;符合ISO/IEC 18000-6 Type C標準的RFID讀寫器協(xié)議處理模塊設計[D];天津大學;2009年

3 馬航;多功能網(wǎng)絡測試儀設計及分組處理模塊FPGA實現(xiàn)[D];西安電子科技大學;2011年

4 張延年;光纖通道協(xié)議處理模塊的設計與驗證[D];西安電子科技大學;2016年

5 王培宇;混合型智能數(shù)據(jù)懫集處理模塊的設計[D];天津大學;2015年

6 羅愛;現(xiàn)場數(shù)據(jù)采集與處理模塊設計[D];南京理工大學;2009年

7 孫彩霞;物聯(lián)網(wǎng)資源接入與智能處理平臺中復雜事件處理模塊的設計與實現(xiàn)[D];北京郵電大學;2016年

8 朱玉海;數(shù)字化環(huán)衛(wèi)系統(tǒng)中的垃圾處理模塊的設計與實現(xiàn)[D];吉林大學;2016年

9 楊學鋼;基于ARM9的航電綜合控制單元主處理模塊的設計和實現(xiàn)[D];上海交通大學;2008年

10 徐小博;SCADA系統(tǒng)中數(shù)據(jù)采集與處理模塊的設計與實現(xiàn)[D];北京郵電大學;2014年

本文編號：2681991