【摘要】：Web應(yīng)用防火墻(Web Application Firewall,WAF)是專門針對(duì)Web應(yīng)用的安全解決方案。它將安全與業(yè)務(wù)隔離,降低了因Web應(yīng)用攻擊帶來的損失和網(wǎng)站安全開發(fā)的成本。隨著互聯(lián)網(wǎng)的發(fā)展,各企業(yè)業(yè)務(wù)體量的增加,除防御傳統(tǒng)Web應(yīng)用攻擊外,他們還需要阻止爬蟲抓取網(wǎng)站內(nèi)容和“薅羊毛”等惡意訪問。面對(duì)惡意訪問,企業(yè)往往通過在Web應(yīng)用中添加檢測(cè)代碼來進(jìn)行防御。但這樣做會(huì)增加業(yè)務(wù)功能與安全功能的耦合,而且增刪檢測(cè)代碼需要重新驗(yàn)證和部署Web應(yīng)用,這些都增加了Web應(yīng)用的維護(hù)成本。同時(shí)進(jìn)行檢測(cè)往往需要在全站范圍內(nèi)對(duì)符合條件的訪問進(jìn)行篩選和統(tǒng)計(jì),Web應(yīng)用往往采用Web服務(wù)器集群的模式工作,添加此功能會(huì)不可避免地帶來架構(gòu)復(fù)雜性和開發(fā)成本。本文的主要目的是針對(duì)惡意訪問防護(hù),提出基于Web應(yīng)用防火墻使用自定義腳本進(jìn)行擴(kuò)展的解決方案:企業(yè)根據(jù)安全需求編寫檢測(cè)腳本并交由Web應(yīng)用防火墻運(yùn)行,以進(jìn)行訪問統(tǒng)計(jì)和執(zhí)行安全防護(hù)操作(如封禁、報(bào)警等)。流量處理模塊是Web應(yīng)用防火墻中實(shí)現(xiàn)該解決方案的主要模塊。不同Web應(yīng)用具有不同的業(yè)務(wù)體量,其實(shí)時(shí)負(fù)載也在變化中,因此本文設(shè)計(jì)了具有可伸縮性流量處理模塊,使得企業(yè)還可以動(dòng)態(tài)增減Web防火墻中流量處理模塊節(jié)點(diǎn)的部署,達(dá)到處理性能與成本的權(quán)衡。本文的主要工作是對(duì)Web應(yīng)用防火墻中流量處理模塊進(jìn)行設(shè)計(jì)與實(shí)現(xiàn)。本文介紹了國(guó)內(nèi)外對(duì)于惡意訪問防護(hù)解決方案的現(xiàn)狀,引出本文解決方案;闡述了實(shí)現(xiàn)流量處理模塊所需的相關(guān)技術(shù)及選用理由;分析了流量處理模塊的功能需求,并結(jié)合行業(yè)標(biāo)準(zhǔn)考慮了可伸縮性,性能和安全性(Security)等非功能需求;設(shè)計(jì)了流量處理模塊的體系結(jié)構(gòu)并描述了其與Web應(yīng)用防火墻其他組件的交互;對(duì)流量處理模塊的流處理模塊、插件模塊和節(jié)點(diǎn)接口模塊進(jìn)行設(shè)計(jì)與實(shí)現(xiàn),并展示了他們?nèi)绾卫孟嚓P(guān)技術(shù)滿足功能需求與非功能需求;最后對(duì)本文現(xiàn)階段工作進(jìn)行了總結(jié),提出了該解決方案下一階段可以開展的工作方向。企業(yè)使用基于本文解決方案設(shè)計(jì)的Web應(yīng)用防火墻,可以在保持Web應(yīng)用中安全與業(yè)務(wù)的隔離,使得Web應(yīng)用在不需要重新部署和不變更原來的架構(gòu)的前提下,獲得所需的自定義安全防護(hù)功能。
【圖文】：

圖３．１描述問題域的用例圖逡逑如圖３．１描述了流量處理模塊的問題域用例。流量處理模塊的主要涉眾及其逡逑主要期待有：逡逑（１）ＷＡＦ定制者：根據(jù)自己網(wǎng)站的實(shí)際情況制訂安全策略，擴(kuò)展Ｗｅｂ應(yīng)用逡逑防火墻，使得防火墻除了一般的檢測(cè)和過濾功能外，還有自定義封禁、限頻功能，逡逑基于Ｓｙｓｌｏｇ的告警功能等。逡逑（２）邐ＷＡＦ管理員：實(shí)時(shí)監(jiān)控網(wǎng)站的動(dòng)向，包括當(dāng)前網(wǎng)站的流量，受到攻擊次逡逑數(shù)等信息，以便作出合適的應(yīng)對(duì)策略。他們希望Ｗｅｂ應(yīng)用防火墻能提供網(wǎng)站的逡逑實(shí)時(shí)監(jiān)控信息，，收到他們關(guān)注的報(bào)警，以及在網(wǎng)站訪問峰值和訪問谷值時(shí)動(dòng)態(tài)增逡逑刪流量處理節(jié)點(diǎn)，以節(jié)約網(wǎng)站的運(yùn)營(yíng)成本。逡逑對(duì)問題域中的需求進(jìn)行描述，得到問題域用例詳細(xì)描述如表３．１所示。逡逑表３．１對(duì)問題域用例的詳細(xì)描述逡逑用例編號(hào)｜邐用例名稱邐用例詳細(xì)描述逡逑－

南京大學(xué)碩士論文邐第三章需求分析與體系結(jié)構(gòu)設(shè)計(jì)逡逑并映射組件、連接件為開發(fā)包，組成開發(fā)視圖（ＤｅｖｅｌｏｐｍｅｎｔＶｉｅｗ）。逡逑３．同時(shí)從邏輯視圖的角度出發(fā)，考慮系統(tǒng)進(jìn)程間的交互方式，映射多個(gè)組逡逑件為進(jìn)程，接口連接配置為進(jìn)程間通信，組成進(jìn)程視圖（Ｐｒｏｃｅｓｓ邋Ｖｉｅｗ）。逡逑４．最后從開發(fā)視圖和進(jìn)程視圖出發(fā)，考慮將軟件構(gòu)件部署在節(jié)點(diǎn)上運(yùn)行，逡逑構(gòu)建部署視圖（Ｄｅｐｌｏｙｍｅｎｔ邋Ｖｉｅｗ）。逡逑５．從先前收集的一些關(guān)鍵場(chǎng)景和用例，驗(yàn)證體系結(jié)構(gòu)設(shè)計(jì)的有效性，構(gòu)建逡逑場(chǎng)景視圖（Ｓｃｅｎａｒｉｏ邋Ｖｉｅｗ）。逡逑３．５．１邏輯視圖：部件和連接件逡逑ｐｋｇＴｒａｆｆｉｃＭｏｄｕｌｅ．ＣｏｍｐｏｎｅｎｔＣｏｎｎｅｃｔｏｒ
【學(xué)位授予單位】：南京大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2019
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 吳杰;徐駿善;;地鐵自動(dòng)售檢票系統(tǒng)中票務(wù)處理模塊的設(shè)計(jì)[J];城市軌道交通研究;2013年11期

2 吳振宇;劉網(wǎng)扣;顧華年;;燃?xì)廨啓C(jī)空氣處理模塊的國(guó)產(chǎn)化[J];發(fā)電設(shè)備;2013年05期

3 郭京;沈華;張曉曦;高毅;亢曉麗;;一種小型化低功耗的機(jī)載處理模塊設(shè)計(jì)[J];航空計(jì)算技術(shù);2018年05期

4 彭飛,張躍,肖會(huì)兵;數(shù)字電視中多信號(hào)源處理模塊的設(shè)計(jì)與實(shí)現(xiàn)[J];中國(guó)有線電視;2003年15期

5 常秀清;阮軍洲;;基于MCIMX6Q6AVT10AC的通用處理模塊硬件設(shè)計(jì)[J];計(jì)算機(jī)與網(wǎng)絡(luò);2016年05期

6 楚要?dú)J;賀瑩;吳翼虎;;一種機(jī)載顯控系統(tǒng)高集成度通用處理模塊設(shè)計(jì)[J];電子技術(shù);2013年07期

7 劉崇治;鮮輝;;基于TMS34020的圖形顯示處理模塊的設(shè)計(jì)[J];電子產(chǎn)品世界;2007年07期

8 劉崇治;鮮輝;;基于TMS34020的圖形顯示處理模塊的設(shè)計(jì)[J];電腦知識(shí)與技術(shù)(學(xué)術(shù)交流);2007年10期

9 蘭秀芹;;MIPv6的擴(kuò)展頭和移動(dòng)頭處理模塊設(shè)計(jì)研究[J];福建電腦;2013年08期

10 李鴻;龍小波;譚懷忠;;UHF RFID系統(tǒng)讀寫器控制處理模塊硬件設(shè)計(jì)綜述[J];山西電子技術(shù);2015年03期

相關(guān)會(huì)議論文 前2條

1 孫玉琦;張凱;王曉龍;徐志明;;基于規(guī)則和統(tǒng)計(jì)相結(jié)合的多音字研究[A];第五屆全國(guó)人機(jī)語音通訊學(xué)術(shù)會(huì)議（NCMMSC1998）論文集[C];1998年

2 孫捷;任德昊;付琳;;一種高性能多功能STM-1定時(shí)接收監(jiān)測(cè)器的設(shè)計(jì)[A];四川省通信學(xué)會(huì)2006年學(xué)術(shù)年會(huì)論文集（一）[C];2006年

相關(guān)重要報(bào)紙文章 前7條

1 ;草谷集團(tuán)推出處理模塊[N];中國(guó)電子報(bào);2001年

2 記者馮欣 通訊員韋萬春;開發(fā)簡(jiǎn)單實(shí)用信息處理模塊[N];南寧日?qǐng)?bào);2012年

3 高嵐;X40防火墻直追NetScreen5200[N];中國(guó)計(jì)算機(jī)報(bào);2003年

4 王新榮;百變不離其宗[N];中國(guó)信息化周報(bào);2015年

5 本報(bào)記者 王璐;柜員機(jī)市場(chǎng)洋品牌迷信 亟待破除[N];金融時(shí)報(bào);2004年

6 本報(bào)記者 邊歆;此UTM非彼UTM[N];網(wǎng)絡(luò)世界;2008年

7 田進(jìn)糧;新收寄系統(tǒng)核賬處理的操作要點(diǎn)[N];中國(guó)郵政報(bào);2015年

相關(guān)博士學(xué)位論文 前2條

1 王俊;全數(shù)字式高分辨率SAR實(shí)時(shí)處理機(jī)研究[D];北京航空航天大學(xué);2001年

2 開毅;低功耗核心路由器設(shè)計(jì)的關(guān)鍵技術(shù)的研究[D];清華大學(xué);2013年

相關(guān)碩士學(xué)位論文 前10條

1 羅浩然;Web應(yīng)用防火墻中流量處理模塊的設(shè)計(jì)與實(shí)現(xiàn)[D];南京大學(xué);2019年

2 趙國(guó)柱;符合ISO/IEC 18000-6 Type C標(biāo)準(zhǔn)的RFID讀寫器協(xié)議處理模塊設(shè)計(jì)[D];天津大學(xué);2009年

3 馬航;多功能網(wǎng)絡(luò)測(cè)試儀設(shè)計(jì)及分組處理模塊FPGA實(shí)現(xiàn)[D];西安電子科技大學(xué);2011年

4 張延年;光纖通道協(xié)議處理模塊的設(shè)計(jì)與驗(yàn)證[D];西安電子科技大學(xué);2016年

5 王培宇;混合型智能數(shù)據(jù)懫集處理模塊的設(shè)計(jì)[D];天津大學(xué);2015年

6 羅愛;現(xiàn)場(chǎng)數(shù)據(jù)采集與處理模塊設(shè)計(jì)[D];南京理工大學(xué);2009年

7 孫彩霞;物聯(lián)網(wǎng)資源接入與智能處理平臺(tái)中復(fù)雜事件處理模塊的設(shè)計(jì)與實(shí)現(xiàn)[D];北京郵電大學(xué);2016年

8 朱玉海;數(shù)字化環(huán)衛(wèi)系統(tǒng)中的垃圾處理模塊的設(shè)計(jì)與實(shí)現(xiàn)[D];吉林大學(xué);2016年

9 楊學(xué)鋼;基于ARM9的航電綜合控制單元主處理模塊的設(shè)計(jì)和實(shí)現(xiàn)[D];上海交通大學(xué);2008年

10 徐小博;SCADA系統(tǒng)中數(shù)據(jù)采集與處理模塊的設(shè)計(jì)與實(shí)現(xiàn)[D];北京郵電大學(xué);2014年

本文編號(hào)：2681991