一種基于自適應(yīng)代理機(jī)制的http業(yè)務(wù)防火墻的制作方法
【專利摘要】本發(fā)明涉及防火墻領(lǐng)域���,旨在提供一種基于自適應(yīng)代理機(jī)制的HTTP業(yè)務(wù)防火墻����。該種基于自適應(yīng)代理機(jī)制的HTTP業(yè)務(wù)防火墻包括代理模塊、核心控制和安全策略庫�����;代理模塊用于接入來自客戶端的HTTP訪問�����,獲得各項數(shù)據(jù)傳遞給核心控制��,并在收到核心控制的裁決結(jié)論后予以執(zhí)行��;核心控制用于負(fù)責(zé)調(diào)度各個模塊的協(xié)作�����、接受各個模塊的請求�����,并更新安全策略庫中的數(shù)據(jù)記錄����、工作模式、工作方法����;安全策略庫包括客戶端許可策略、客戶端會話狀態(tài)庫�����、起始地址白名單和后續(xù)地址白名單����。本發(fā)明能減少受保護(hù)系統(tǒng)需要考慮的意外訪問、意外參數(shù)����、會話參數(shù)檢查、用戶關(guān)聯(lián)數(shù)據(jù)等等各種安全方面的檢查工作�,進(jìn)而提升系統(tǒng)的安全等級。
【專利說明】一種基于自適應(yīng)代理機(jī)制的HTTP業(yè)務(wù)防火墻
【技術(shù)領(lǐng)域】
[0001]本發(fā)明是關(guān)于防火墻領(lǐng)域���,特別涉及一種基于自適應(yīng)代理機(jī)制的HTTP業(yè)務(wù)防火攤
m ο
【背景技術(shù)】
[0002]在防火墻領(lǐng)域中��,有最早的基于0SI七層架構(gòu)的數(shù)據(jù)鏈路層��、網(wǎng)絡(luò)層的防火墻�,主要對來源和目的進(jìn)行訪問權(quán)限控制的防火墻,也有當(dāng)前最新基于0SI七層架構(gòu)的應(yīng)用層��,著重基于攻擊特征進(jìn)行檢查的應(yīng)用防火墻��。傳統(tǒng)的防火墻主要有以下常見技術(shù)類型:包過濾防火墻���、電路層防火墻��、應(yīng)用層代理防火墻����、動態(tài)包過濾防火墻�、自適應(yīng)代理防火墻。
[0003]包過濾防火墻:指工作在網(wǎng)絡(luò)層�,基于以下信息對經(jīng)過的每一個包進(jìn)行檢查:ΙΡ源地址和目標(biāo)地址、TCP/UDP源端口好和目標(biāo)端口號���、協(xié)議(TCP, UDP, ICMP, BGP等等)���、ICMP的消息類型、包的大小等等�����。
[0004]電路層防火墻:代理型防火墻的一種�����,工作在傳輸層�����;根據(jù)數(shù)據(jù)包的標(biāo)志位建立一個連接狀態(tài)表����;對于收到的某個IP包,檢查它是否屬于某一個會話����;跟蹤一段時間內(nèi)一個會話中經(jīng)過包的總數(shù)。
[0005]應(yīng)用層代理防火墻:工作在應(yīng)用層�;針對特定協(xié)議,比如telnet, http, smtp, pop等可以支持身份認(rèn)證功能���;除了基于地址���、協(xié)議��、端口的控制以外���,還可以支持應(yīng)用層命令的過濾,比如FTP的GET, PUT等�����。
[0006]動態(tài)包過濾防火墻:具備包過濾防火墻的基本特征����,另外具備以下特征:通過包的屬性和維護(hù)一份連接表來監(jiān)視通信會話的狀態(tài)而不是簡單依靠標(biāo)志的設(shè)置;針對傳輸層的�,所以選擇動態(tài)包過濾時,要保證防火墻可以維護(hù)用戶將要使用的所有傳輸?shù)臓顟B(tài)��,如TCP, UDP, ICMP等����。;與普通(靜態(tài))包過濾防火墻相比��,動態(tài)包的過濾規(guī)則時基于會話�。
[0007]自適應(yīng)代理防火墻:綜合了包過濾與代理服務(wù)器防火墻的有點�,其包過濾規(guī)則是動態(tài)�����、基于會話的���,并且可以在運行過程中動態(tài)調(diào)整包過濾器的過濾規(guī)則,在進(jìn)行過濾檢查時����,可以基于會話的不同,采用不同標(biāo)準(zhǔn)的過濾規(guī)則����。
[0008]HTTP (超文本傳輸協(xié)議 HTTP-Hypertext transfer protocol),是當(dāng)前諸多 IT 行業(yè)的業(yè)務(wù)系統(tǒng)的主流的一種操作通訊協(xié)議。HTTP協(xié)議中����,具備兩個標(biāo)準(zhǔn)的概念:URL(URL:Uniform Resource Locator 的縮寫,譯為“統(tǒng)一資源定位符”�,例如:“http://www.bank.com/login ? Userid = lOOl&Pass = 123456”) ;URI(Uniform Resource Identifier 的縮寫���,譯為“通用資源標(biāo)識符”,對應(yīng)URL范例的URI的值為:“http: //www.bank, com/login����,,) o
[0009]HTML (超文本標(biāo)記語言HyperText Markup language),是目前使用最廣泛的一種頁面定義語言��,具體詳情可參見RFC (Request For Comments,是一系列以編號排定的文件�,基本的因特網(wǎng)通訊協(xié)定都有在RFC文件內(nèi)詳細(xì)說明)的相關(guān)規(guī)范。
[0010]HTML文檔是由HTML元素定義的�����,HTML元素指的是從開始標(biāo)簽(start tag,比如:
����、〈a href = "default.htm"? 到結(jié)束標(biāo)簽(end tag,比如:〈/p>、〈/a>)的所有代碼�。
[0011]HTML鏈接����,HTML使用超級鏈接與網(wǎng)絡(luò)上的另一個文檔相連��。幾乎可以在所有的網(wǎng)頁中找到鏈接。點擊鏈接可以從一張頁面跳轉(zhuǎn)到另一張頁面�。點擊鏈接將按照鏈接所指的 URL,向服務(wù)端發(fā)起訪問。比如:“〈a href = "http:"www.w3school.com.cn/〃>VisitW3School〈/a>” 就定義了一個指向到"http://www.w3school.com.cn/"的鏈接�,“〈a href=〃http://www.w3school.com.cn/〃>〈img border = 〃0〃src = 〃./images/NextPage.gif〃X/a>” 也定義了一個指向到 〃http://www.w3school.com.cn/〃 的鏈接�。
[0012]業(yè)務(wù)防火墻,這是一個新概念,因為每個客戶的業(yè)務(wù)都存在較大的差異�����,難以形成標(biāo)準(zhǔn)化的檢查規(guī)則���,且因為業(yè)務(wù)防火墻的概念剛剛在近兩年起步�,目前業(yè)內(nèi)尚沒有此方面的成熟或者典型產(chǎn)品�����。
【發(fā)明內(nèi)容】
[0013]本發(fā)明的主要目的在于克服現(xiàn)有技術(shù)中的不足����,提供一種以客戶端會話關(guān)聯(lián)���、自適應(yīng)白名單規(guī)則�����、代理訪問的機(jī)制、模式為防護(hù)核心的新一代防火墻技術(shù)��。為解決上述技術(shù)問題�����,本發(fā)明的解決方案是:
[0014]提供一種基于自適應(yīng)代理機(jī)制的HTTP業(yè)務(wù)防火墻��,用于防御來自客戶端的對受保護(hù)的業(yè)務(wù)系統(tǒng)的攻擊訪問,所述基于自適應(yīng)代理機(jī)制的HTTP業(yè)務(wù)防火墻包括代理模塊�����、核心控制和安全策略庫;
[0015]所述代理模塊用于接入來自客戶端的HTTP訪問,然后根據(jù)訪問發(fā)生的時刻,提取當(dāng)前訪問時間��,以及根據(jù)HTTP協(xié)議規(guī)范(RFC 1945,RFC 2616)�����,提取訪問的來源IP和端口、訪問的目標(biāo)地址、Request (請參見RFC 2616的HTTP Message定義中的Request定義)��;
[0016]代理模塊再將獲得的各項數(shù)據(jù)(訪問來源IP和端口�����、訪問的目標(biāo)地址、Request)傳遞給核心控制,等待核心控制的裁決,并在收到裁決結(jié)論后���,代理模塊根據(jù)裁決結(jié)論予以執(zhí)行;其中�����,裁決結(jié)論包括放行��、監(jiān)控���、警告�、攔截���;
[0017]若代理模塊收到放行�,即檢查通過的結(jié)論后�����,代理模塊將當(dāng)前會話的Request代理發(fā)送給受保護(hù)的業(yè)務(wù)系統(tǒng)后,等待接收業(yè)務(wù)系統(tǒng)對轉(zhuǎn)發(fā)的Request的回應(yīng)內(nèi)容ReSponSe(回應(yīng)內(nèi)容即作為發(fā)給客戶端作為響應(yīng)內(nèi)容)�����,并對回應(yīng)內(nèi)容Response的message-body (請參見 RFC 2616 的 HTTP Message 定義中的 Response 定義)按照 HTML 語言(HyperText Markup Language)進(jìn)行解析����,獲得回應(yīng)內(nèi)容中的可訪問鏈接;
[0018]所述核心控制是HTTP業(yè)務(wù)防火墻的控制中心��,用于負(fù)責(zé)調(diào)度各個模塊的協(xié)作�����、接受各個模塊的請求�����,并更新安全策略庫中的數(shù)據(jù)記錄���、工作模式���、工作方法;
[0019]核心控制能提取代理模塊傳遞的HTTP訪問的數(shù)據(jù)�,HTTP訪問的數(shù)據(jù)包括來源IP��、來源端口、目的IP����、目的端口、HTTP請求的URL���、HTTP請求的HEADER�����、HTTP請求的BODY���,調(diào)用客戶端許可策略對客戶端來源(來源IP、來源端口 )進(jìn)行檢查:
[0020]若客戶端的檢查結(jié)論為不安全��,根據(jù)結(jié)論的不同風(fēng)險級別�����,命令代理模塊對該次訪問進(jìn)行攔截處理�����,不進(jìn)入后續(xù)檢查步驟;
[0021]若客戶端的檢查結(jié)論為安全����,則繼續(xù)調(diào)用客戶端會話狀態(tài)庫對客戶端狀態(tài)進(jìn)行檢查,對于客戶端來源信息(來源IP����、SeSS1nID)已經(jīng)處于客戶端會話狀態(tài)庫的數(shù)據(jù)記錄中的會話,作為已有會話�����,否則作為新會話�����;若判斷為新會話�����,則將當(dāng)前請求的HTTP訪問的數(shù)據(jù)傳遞給起始地址白名單進(jìn)行檢查�����,檢查通過�����,就將該新會話加入客戶端會話狀態(tài)庫,由代理模塊將該請求代理發(fā)送給受保護(hù)的業(yè)務(wù)系統(tǒng)����,并繼續(xù)整個流程處理���;若判斷為已有會話����,則將當(dāng)前請求的HTTP訪問的數(shù)據(jù)傳遞給起始地址白名單和后續(xù)地址白名單���,由兩個模塊分別進(jìn)行檢查����,若其中任何一個模塊的檢查結(jié)論為通過的�����,由代理模塊將該請求代理發(fā)送給受保護(hù)的業(yè)務(wù)系統(tǒng)����,并繼續(xù)整個流程處理�;否則按照攔截的結(jié)論進(jìn)行處理�����;
[0022]所述安全策略庫包括子模塊:客戶端許可策略��、客戶端會話狀態(tài)庫�����、起始地址白名單和后續(xù)地址白名單���,且安全策略庫記錄有HTTP業(yè)務(wù)防火墻的初始化數(shù)據(jù)�,包括客戶端許可策略的初始化數(shù)據(jù)����、起始地址白名單的初始化數(shù)據(jù);
[0023]安全策略庫用于接受核心控制調(diào)度��,實現(xiàn)下述功能:按照核心控制的調(diào)度(根據(jù)客戶端發(fā)起的請求�、獲得的響應(yīng)),調(diào)整客戶端對應(yīng)的客戶端會話狀態(tài)數(shù)據(jù)和后續(xù)地址白名單(請參見圖例310中與客戶端會話(X����、Y)的“訪問后-會話狀態(tài)”��、“訪問后-后續(xù)地址白名單”)���,且允許在線(運行過程中)維護(hù)、更新客戶端許可策略和起始地址白名單的數(shù)據(jù)��;按照核心控制的調(diào)度(獲知代理模塊收到客戶端請求時)�����,根據(jù)客戶端及對應(yīng)的相關(guān)策略(客戶端許可策略��、客戶端會話狀態(tài)庫�、起始地址白名單����、后續(xù)地址白名單),進(jìn)行相應(yīng)的安全檢查����,并返回裁決結(jié)論給核心控制;
[0024]所述客戶端許可策略是描述HTTP業(yè)務(wù)防火墻允許接入的客戶端的許可策略�����,且只有列入許可策略的來源,方才允許接入�,否則將被攔截;許可策略中包括客戶端來源���;
[0025]所述客戶端會話狀態(tài)庫用于保存HTTP業(yè)務(wù)防火墻允許進(jìn)入的客戶端的規(guī)則�,且允許進(jìn)入的客戶端的規(guī)則以白名單的方式列出了允許接入受保護(hù)系統(tǒng)的客戶端的清單(此清單與傳統(tǒng)的Access Control Lis很相近)�;每條允許進(jìn)入的客戶端的規(guī)則指定了受保護(hù)系統(tǒng)的地址(目標(biāo)HOST、目標(biāo)IP�、目標(biāo)端口)、代理模塊的接入地址(目標(biāo)HOST����、目標(biāo)IP、目標(biāo)端口)�、允許進(jìn)入的客戶端來源(來源IP、來源端口 );
[0026]所述起始地址白名單由起始地址白名單規(guī)則組成���,起始地址白名單規(guī)則能實現(xiàn)下述功能:接受核心控制的調(diào)度(在獲知客戶端收到相應(yīng)頁面����,并通過解析該頁面獲得其中的鏈接地址時)�,能查詢�、增加��、刪除該客戶端對應(yīng)的起始地址規(guī)則����;接受核心控制的調(diào)度(獲知代理模塊收到客戶端請求時),檢查該客戶端在當(dāng)前會話狀態(tài)時��,是否有權(quán)以起始地址的方式訪問該起始地址�����;其中��,起始地址白名單規(guī)則包括客戶端條件�、客戶端會話狀態(tài)條件���、起始地址�����;
[0027]所述后續(xù)地址白名單由后續(xù)地址白名單規(guī)則組成��,后續(xù)地址白名單規(guī)則能實現(xiàn)下述功能:接受核心控制的調(diào)度(在獲知客戶端收到相應(yīng)頁面���,并通過解析該頁面獲得其中的鏈接地址時)�����,能查詢�、增加����、刪除該客戶端對應(yīng)的后續(xù)地址規(guī)則;接受核心控制的調(diào)度(獲知代理模塊收到客戶端請求時)����,檢查該客戶端在當(dāng)前會話狀態(tài)時,是否有權(quán)以后續(xù)地址的方式訪問該后續(xù)地址�;其中,后續(xù)地址白名單規(guī)則包括客戶端條件��、客戶端會話狀態(tài)條件、后續(xù)地址。
[0028]在本發(fā)明中����,所述核心控制能進(jìn)行人機(jī)交互����,核心控制通過輸出設(shè)備輸出數(shù)據(jù)�、訊號���,并通過輸入設(shè)備獲取外部輸入��,從而實現(xiàn)人機(jī)交互���。
[0029]在本發(fā)明中����,所述輸出設(shè)備包括屏幕、喇叭���、燈光��,輸入設(shè)備包括鍵盤���、鼠標(biāo)。
[0030]在本發(fā)明中����,所述客戶端許可策略中的客戶端來源包括來源IP���、來源端口,且客戶端來源能通過正則表達(dá)式進(jìn)行標(biāo)識,也能采用通用的“ ��? 通配符進(jìn)行記錄,并支持區(qū)段方式標(biāo)記(比如:12-254,標(biāo)識允許從12到254的整數(shù))���。
[0031]在本發(fā)明中�,所述客戶端會話狀態(tài)庫中的每條允許進(jìn)入的客戶端的規(guī)則���,能通過正則表達(dá)式進(jìn)行標(biāo)識��,也能采用通用的“�����? 通配符進(jìn)行記錄���,并支持區(qū)段方式標(biāo)記(比如:12-254,標(biāo)識允許從12到254的整數(shù))��。
[0032]在本發(fā)明中,所述基于自適應(yīng)代理機(jī)制的HTTP業(yè)務(wù)防火墻的攔截結(jié)論的處理方式,為代理模塊直接關(guān)閉客戶端當(dāng)前連接或者回應(yīng)拒絕服務(wù)的回應(yīng)頁面后關(guān)閉連接��。
[0033]在本發(fā)明中����,所述起始地址白名單在HTTP業(yè)務(wù)防火墻初始化時�����,根據(jù)系統(tǒng)運行的設(shè)定預(yù)置記錄�;且起始地址白名單能根據(jù)系統(tǒng)運行需要���,設(shè)定不同的模式:根據(jù)客戶端來源,為不同的來源指定不同的起始地址鏈接記錄�����;對所有客戶端來源��,設(shè)定相同的起始地址鏈接記錄。
[0034]在本發(fā)明中�,所述核心控制對安全策略庫中數(shù)據(jù)記錄的更新包括:
[0035]對后續(xù)地址白名單的更新:代理模塊獲得業(yè)務(wù)系統(tǒng)對該請求的回應(yīng)內(nèi)容的可訪問鏈接后�,核心控制將可訪問鏈接更新到后續(xù)地址白名單中,且能采用兩種模式實現(xiàn):將可訪問鏈接記錄追加到后續(xù)地址白名單中����,并將鏈接記錄與會話對應(yīng)����;清除可訪問鏈接對應(yīng)該會話的所有舊鏈接記錄��,將新獲得的與會話對應(yīng)的鏈接記錄加入到后續(xù)地址白名單中�;
[0036]對客戶端會話狀態(tài)庫的更新:核心控制將當(dāng)前訪問地址更新到客戶端會話狀態(tài)庫中,且能采用兩種模式實現(xiàn):客戶端會話狀態(tài)庫中只保存一條當(dāng)前步驟鏈接記錄�,用當(dāng)前訪問的鏈接記錄直接覆蓋原有記錄��;客戶端會話狀態(tài)庫中保存多條當(dāng)前步驟鏈接記錄�,將當(dāng)前訪問的連接記錄添加進(jìn)去���;
[0037]核心控制能定期(比如每秒�����、每20毫秒等等)檢查客戶端會話狀態(tài)庫���,對已有會話的記錄進(jìn)行過期檢查,若記錄已到過期時間則進(jìn)行清除�;其中����,過期時間是指當(dāng)前時間加上有效期時長得到的時間戳���,且核心控制在當(dāng)前請求為已有會話的情況下��,調(diào)用客戶端會話狀態(tài)庫對已有會話的有效期時長,按照預(yù)先設(shè)置的會話有效期時長(比如:180秒��、3600秒等等)進(jìn)行延長���。
[0038]在本發(fā)明中���,所述基于自適應(yīng)代理機(jī)制的HTTP業(yè)務(wù)防火墻采用兩種模式來處理客戶端重復(fù)發(fā)送當(dāng)前請求:將當(dāng)前訪問的地址作為后續(xù)地址添加到后續(xù)地址白名單中���;不將當(dāng)前訪問的地址加入起始地址白名單和后續(xù)地址白名單���,若業(yè)務(wù)系統(tǒng)對當(dāng)前請求的回應(yīng)內(nèi)容中不包含當(dāng)前請求的URL/鏈接地址時,不允許刷新頁面重新訪問當(dāng)前地址��。
[0039]本發(fā)明的工作原理:基于底層的HTTP訪問代理的關(guān)聯(lián)系統(tǒng)(訪問代理系統(tǒng)Agent)���,通過實時獲取�����、分析Agent所獲得的流量數(shù)據(jù),并進(jìn)行客戶端會話關(guān)聯(lián),然后形成客戶端清單,并將分析得到的白名單地址,按照預(yù)先設(shè)定的更新合并規(guī)則��,與對應(yīng)客戶端已有的白名單進(jìn)行合并、更新���,得到新的訪問地址白名單�����。在發(fā)現(xiàn)來自某個客戶端的HTTP訪問時�,將按該客戶端對應(yīng)的訪問地址白名單進(jìn)行檢查,如果符合白名單允許的規(guī)則,那么放行該訪問����,如果不符合白名單允許的規(guī)則�����,那么該HTTP訪問將被監(jiān)控��、警告或者攔截。
[0040]與現(xiàn)有技術(shù)相比���,本發(fā)明的有益效果是:
[0041]本發(fā)明能夠識別特定客戶端所處的會話步驟,并根據(jù)當(dāng)前步驟自動生成相應(yīng)白名單規(guī)則,從而對于安全的訪問予以放行����,而對危險的訪問進(jìn)行攔截;
[0042]本發(fā)明將攔截擴(kuò)展成為警告(通過核心控制120發(fā)出警告)��、授權(quán)(通過核心控制120發(fā)出請求����,要求通過輸入設(shè)備輸入授權(quán)許可后方才允許該會話繼續(xù)訪問)��、攔截或者不同級別的多種處理方式,都是很容易進(jìn)行變形調(diào)整的�;
[0043]本發(fā)明能夠根據(jù)所出的應(yīng)用層的場景規(guī)則,自動學(xué)習(xí)�����、修訂當(dāng)前步驟的白名單規(guī)則,從而確保所有的訪問都是符合預(yù)期的��,所有不符合預(yù)期的訪問將全部被拒絕;
[0044]本發(fā)明的代理保護(hù)設(shè)計�����,使受保護(hù)系統(tǒng)能夠接收到的客戶端訪問將都是安全的���,只要受保護(hù)系統(tǒng)自身的訪問步驟流程沒有發(fā)生混亂,客戶端就只能在預(yù)定的步驟流程規(guī)定的路徑上行走;
[0045]本發(fā)明能減少受保護(hù)系統(tǒng)需要考慮的意外訪問、意外參數(shù)�����、會話參數(shù)檢查���、用戶關(guān)聯(lián)數(shù)據(jù)等等各種安全方面的檢查工作�����,從而幫助受保護(hù)系統(tǒng)大幅度降低開發(fā)成本�,并且能夠通過本發(fā)明提升系統(tǒng)的安全等級;
[0046]本發(fā)明能使防火墻的防護(hù)能力獲得一個質(zhì)的上升�����,并從機(jī)制上將各種常見的攻擊手段從先天上就屏蔽掉,使攻擊與防御的格局將進(jìn)入新的時代。
【專利附圖】
【附圖說明】
[0047]圖1為本發(fā)明中具體實施例的計算環(huán)境系統(tǒng)結(jié)構(gòu)框圖��。
[0048]圖2為本發(fā)明中具體實施例的跳轉(zhuǎn)流程圖�。
[0049]圖3為本發(fā)明中具體實施例的跳轉(zhuǎn)步驟對應(yīng)的數(shù)據(jù)記錄圖����。
【具體實施方式】
[0050]首先需要說明的是���,本發(fā)明是計算機(jī)技術(shù)在信息安全【技術(shù)領(lǐng)域】的一種應(yīng)用�,在本發(fā)明的實現(xiàn)過程中��,會涉及到多個軟件功能模塊的應(yīng)用。 申請人:認(rèn)為����,如在仔細(xì)閱讀申請文件��、準(zhǔn)確理解本發(fā)明的實現(xiàn)原理和發(fā)明目的以后,在結(jié)合現(xiàn)有公知技術(shù)的情況下�����,本領(lǐng)域技術(shù)人員完全可以運用其掌握的軟件編程技能實現(xiàn)本發(fā)明�����。前述軟件功能模塊包括但不限于:代理模塊��、核心控制模塊��、安全策略庫等��,凡本發(fā)明申請文件提及的均屬此范疇, 申請人:不再一一列舉�����。
[0051]下面結(jié)合附圖與【具體實施方式】對本發(fā)明作進(jìn)一步詳細(xì)描述:
[0052]如圖1所示,客戶端140是發(fā)起訪問請求的訪問來源���,來自客戶端140的請求�����,必須經(jīng)過HTTP業(yè)務(wù)防火墻100的代理訪問,方才能夠訪問到業(yè)務(wù)系統(tǒng)150���,通過上述的部署結(jié)構(gòu)�����,實現(xiàn)了 HTTP業(yè)務(wù)防火墻對業(yè)務(wù)系統(tǒng)的防護(hù)�����。
[0053]HTTP業(yè)務(wù)防火墻100就是本發(fā)明(本系統(tǒng))�,其中包括代理模塊110,代理模塊110實現(xiàn)接收客戶端140的訪問�����,并將通過核心控制模塊120以及相關(guān)功能模塊的安全檢查的訪問發(fā)送給業(yè)務(wù)系統(tǒng)150�,然后接收業(yè)務(wù)系統(tǒng)150的響應(yīng),經(jīng)過對響應(yīng)內(nèi)容的分析��,更新核心控制模塊120以及相應(yīng)功能模塊對當(dāng)前會話的安全策略�,然后將來自業(yè)務(wù)系統(tǒng)150的響應(yīng)內(nèi)容作為給客戶端140的響應(yīng)內(nèi)容進(jìn)行回應(yīng)。
[0054]核心控制模塊120作為HTTP業(yè)務(wù)防火墻的核心調(diào)度中心,代理模塊110接收到來自任何客戶端140的請求都必須通知核心控制模塊120,核心控制模塊120將提取當(dāng)前會話的相關(guān)信息(來源IP����、來源端口、目的IP���、目的端口���、HTTP請求的URL�、HTTP請求的HEADER���、HTTP請求的BODY等等)����。
[0055]核心控制模塊在獲得當(dāng)前會話的相應(yīng)信息數(shù)據(jù)后,將調(diào)用客戶端許可策略131對客戶端來源(來源IP�、來源端口)進(jìn)行檢查�����。檢查不通過(攔截)的請求,直接攔截請求(代理模塊直接關(guān)閉客戶端當(dāng)前連接,或者回應(yīng)拒絕服務(wù)的回應(yīng)頁面后關(guān)閉連接)��,不進(jìn)入后續(xù)檢查步驟�;檢查通過的請求,進(jìn)入后續(xù)步驟的檢查�。
[0056]當(dāng)前請求沒有被客戶端許可策略131攔截的����,將調(diào)用客戶端會話狀態(tài)庫133對客戶端狀態(tài)(新會話、已有會話)進(jìn)行檢查��,客戶端來源信息(來源IP�����、Sess1nID)已經(jīng)處于客戶端會話狀態(tài)庫133的數(shù)據(jù)記錄中(已有會話)�����,作為已有會話�����,否則作為新會話����。
[0057]新會話的情況下,對當(dāng)前請求的HTTP請求的數(shù)據(jù)傳遞給起始地址白名單132進(jìn)行檢查���,檢查通過的請求��,將該會話加入客戶端會話狀態(tài)庫133,由代理模塊110將該請求代理發(fā)送給業(yè)務(wù)系統(tǒng)�,并繼續(xù)整個流程處理。
[0058]已有會話的情況下�����,對當(dāng)前請求的HTTP請求的數(shù)據(jù)傳遞給起始地址白名單132�����、后續(xù)地址白名單134��,由兩個模塊分別進(jìn)行檢查����,其中任何一個模塊的檢查結(jié)論為通過的,由代理模塊110將該請求代理發(fā)送給業(yè)務(wù)系統(tǒng)�,并繼續(xù)整個流程處理。否則按照攔截的結(jié)論進(jìn)行處理(代理模塊直接關(guān)閉客戶端當(dāng)前連接��,或者回應(yīng)拒絕服務(wù)的回應(yīng)頁面后關(guān)閉連接)。
[0059]起始地址白名單��,在本系統(tǒng)初始化時�����,根據(jù)系統(tǒng)運行的設(shè)定預(yù)置記錄���,起始地址白名單根據(jù)系統(tǒng)運行需要,可設(shè)定不同的模式(A:根據(jù)客戶端來源��,為不同的來源指定不同的起始地址鏈接記錄:對所有客戶端倆元��,設(shè)定相同的其實地址鏈接記錄���;)���。
[0060]在獲得檢查通過的結(jié)論后,代理模塊110在將當(dāng)前會話的請求代理發(fā)送給業(yè)務(wù)系統(tǒng)150后���,將接收業(yè)務(wù)系統(tǒng)對該請求的回應(yīng)內(nèi)容�����,并對該回應(yīng)內(nèi)容進(jìn)行解析�����,獲得回應(yīng)內(nèi)容中的可訪問鏈接�����。獲得相應(yīng)鏈接記錄后��,系統(tǒng)根據(jù)運行需要可設(shè)定不同的模式對后續(xù)地址白名單134進(jìn)行更新(A:將相應(yīng)鏈接記錄追加到后續(xù)地址白名單134中���,鏈接記錄與會話對應(yīng):清除該會話對應(yīng)的所有舊鏈接記錄�,將新獲得的與會話對應(yīng)的鏈接記錄加入�;)。對于當(dāng)前訪問地址�,系統(tǒng)根據(jù)運行需要可設(shè)定不同的模式對客戶端會話狀態(tài)庫133進(jìn)行更新(A:只保持一條當(dāng)前步驟鏈接記錄,用當(dāng)前訪問的鏈接記錄直接覆蓋原有記錄���;B:保持多條當(dāng)前步驟鏈接記錄����,將當(dāng)前訪問的連接記錄添加進(jìn)去����;)�。對于當(dāng)前請求可能重發(fā)的情況����,系統(tǒng)根據(jù)運行需要可設(shè)定不同的模式來支持(A:將當(dāng)前訪問的地址作為后續(xù)地址添加到后續(xù)地址白名單134中;B:不列入任何白名單����,在該請求的回應(yīng)內(nèi)容中不包含當(dāng)前請求的URL/鏈接地址時,不允許刷新頁面重新訪問當(dāng)前地址����;)�。
[0061]在當(dāng)前請求為已有會話的情況下,核心控制模塊將調(diào)用客戶端會話狀態(tài)庫133將對應(yīng)當(dāng)前會話的記錄的超時時間按照預(yù)先設(shè)置的會話有效期時長(比如:180秒�����、3600秒等等)進(jìn)行延長(以當(dāng)前時間加上有效期時長得到的時間戳作為過期時間)���。
[0062]核心控制模塊將定期(比如每秒����、每20毫秒等等)檢查客戶端會話狀態(tài)庫,對其中已有會話的記錄進(jìn)行過期檢查���,凡是記錄的時間戳已經(jīng)小于當(dāng)前時間的���,相關(guān)記錄將被清除。
[0063]圖2為具體實施例的起始地址白名單����、以及根據(jù)會話所處的當(dāng)前步驟(當(dāng)前頁面URL)對應(yīng)的鏈接地址的跳轉(zhuǎn)流程圖。
[0064]鏈接200�����、鏈接290是起始地址�,是某具體實施例的任何一個合法客戶端進(jìn)入后可作為起始地址進(jìn)行訪問。
[0065]鏈接210���、鏈接220��、鏈接230���,是對應(yīng)起始地址鏈接200的后續(xù)訪問地址。
[0066]鏈接231�、鏈接232�����、鏈接233����,是對應(yīng)當(dāng)前地址鏈接230的后續(xù)訪問地址�。
[0067]鏈接200,同時作為連接230的一個后續(xù)訪問地址����。
[0068]圖3為具體實施例的鏈接地址的跳轉(zhuǎn)流程圖,一個客戶端在不同訪問步驟時�,本系統(tǒng)對應(yīng)的客戶端會話狀態(tài)庫133、起始地址白名單132�、后續(xù)地址白名單134對應(yīng)的數(shù)據(jù)記錄��。
[0069]起始狀態(tài)數(shù)據(jù)表300����,說明了在本系統(tǒng)初始化完成后:(1)會話狀態(tài)庫中沒有記錄數(shù)據(jù);(2)起始地址白名單采用對所有來源地址統(tǒng)一規(guī)定的方式����,有兩個鏈接地址���;(3)后續(xù)地址白名單,是對于每個會話分別存儲記錄的��,初始數(shù)據(jù)為空��。
[0070]步驟數(shù)據(jù)表310����,說明了在兩個會話在各個時間發(fā)生訪問步驟后,基于已有數(shù)據(jù)記錄����,本系統(tǒng)對該次訪問的檢查結(jié)果,以及客戶端會話狀態(tài)庫133�、起始地址白名單132、后續(xù)地址白名單134相應(yīng)的數(shù)據(jù)變化�����。
[0071]步驟數(shù)據(jù)表310中有兩個會話���,雖然是同一個來源IP����,但是因為Sess1nID的不同,本系統(tǒng)將其判定為獨立的兩個會話�����。會話X表示(來源IP:192.168.1.101����,Sess1nID:12345678900),會話 Y 表示(來源 IP:192.168.1.101���,Sess1nID:12345678901)�。
[0072]步驟數(shù)據(jù)表310中的當(dāng)前訪問URL����,指該記錄對應(yīng)的訪問步驟,客戶端期望訪問的目標(biāo)地址(在本具體實施例中按照URI進(jìn)行舉例�,在其他具體實施例中可以按照URL進(jìn)行理解)。在本具體實施例中�����,對于起始地址���、后續(xù)地址的判別���,都是采用的最簡相對路徑的URI的方式來進(jìn)行舉例,在實際應(yīng)用實施例中���,也可以采用絕對路徑��,也可以采用帶參數(shù)的URL�。在進(jìn)行白名單鏈接地址判別是���,可以根據(jù)運行需要�����,在起始地址白名單��、后續(xù)地址白名單的模塊中�����,設(shè)定相應(yīng)的比較方法�����,可以采用字符串完全匹配方式��,也可以采用正則表達(dá)式進(jìn)行匹配的方式���,或者其他自定義的比較方法��。
[0073]步驟數(shù)據(jù)表310中的“訪問后-會話狀態(tài)庫”����,指的是在該步驟處理完成后�,本系統(tǒng)的會話狀態(tài)庫131中的數(shù)據(jù)記錄。
[0074]步驟數(shù)據(jù)表310中的“訪問后-后續(xù)地址白名單”�����,指的是在該步驟處理完成后����,本系統(tǒng)的后續(xù)地址白名單134中的數(shù)據(jù)記錄。
[0075]在本具體實施例中���,起始地址白名單132的數(shù)據(jù)記錄在完成系統(tǒng)初始化后��,保持不變���。在其他具體實施例中,本系統(tǒng)可以根據(jù)運行需要�,通過核心控制模塊120調(diào)整起始地址白名單132的數(shù)據(jù)記錄。在其他具體實施例中��,也可以通過核心控制模塊120���,在系統(tǒng)運行過程中��,調(diào)整客戶端許可策略131的數(shù)據(jù)記錄����。在其他具體實施例中��,可以通過核心控制模塊120���,調(diào)整起始地址白名單132����、后續(xù)地址白名單134的比較方法�����。
[0076]本發(fā)明在實際應(yīng)用中,有著很高的實用價值�����。本發(fā)明所設(shè)計的防火墻�����,屬于應(yīng)用層代理型防火墻���,同時又具備自適應(yīng)代理防火墻的特征����,不同的會話使用的過濾規(guī)則是不同的����,更進(jìn)一步,即使同一個會話�����,在會話處于不同的步驟時���,過濾規(guī)則也是不同的����。
[0077]如本領(lǐng)域技術(shù)人員應(yīng)該了解的,本發(fā)明的各方面可體現(xiàn)為系統(tǒng)��、方法或計算機(jī)程序產(chǎn)品���。因此,本發(fā)明的方面可采用完全硬件具體實施例�����、完全軟件具體實施例或者組合硬件和軟件方面的具體實施例的形式�����,其在文本中一般可統(tǒng)稱為“電路”�����、“模塊”�����、“系統(tǒng)”�����。此夕卜,本發(fā)明的方面可采用體現(xiàn)于一個或者多個計算機(jī)可讀介質(zhì)(具有計算機(jī)可讀程序代碼體現(xiàn)于其中)中的計算機(jī)程序產(chǎn)品的形式���。
[0078]可利用一個或者多個計算機(jī)可讀介質(zhì)的任何組合�����。體現(xiàn)于計算機(jī)可讀介質(zhì)上的程序代碼可使用任何適當(dāng)介質(zhì)來傳輸���,該介質(zhì)包括(但不限于)無線、有線����、光纖纜線、RF等�����、或前述各者的任何合適組合�����。
[0079]可以一或多種編程語言的任何組合編寫用于執(zhí)行本發(fā)明方面的操作的計算機(jī)程序代碼�����,其包括面向?qū)ο缶幊陶Z言(例如:Java、Smalltalk�����、C++或類似者)以及傳統(tǒng)程序性編程語言(例如“C”編程語言或者類似編程語言)�。程序代碼可完全在用戶計算機(jī)上執(zhí)行���、部分地在用戶計算機(jī)上執(zhí)行����、作為獨立軟件包執(zhí)行�����、部分地在用戶計算機(jī)上執(zhí)行且部分地在遠(yuǎn)程計算機(jī)上執(zhí)行����、或完全在遠(yuǎn)程計算機(jī)或者服務(wù)器上執(zhí)行。在后一種情形中�,遠(yuǎn)程計算機(jī)可由任何類型的網(wǎng)絡(luò)(包括局域網(wǎng)絡(luò)(LAN)或廣域網(wǎng)(WAN)連接至用戶的計算機(jī),或可連接至外部計算機(jī)(例如���,通過因特網(wǎng)服務(wù)提供商經(jīng)由因特網(wǎng))���。
[0080]本發(fā)明的各方面參考根據(jù)本發(fā)明的具體實施例的方法��、設(shè)備(系統(tǒng))及計算機(jī)程序產(chǎn)品的流程圖說明及/或模塊圖而描述于上�����。應(yīng)理解�,流程圖說明及/或模塊圖的每一區(qū)塊及區(qū)塊的組合可由計算機(jī)程序指令來實施�����。這些計算機(jī)程序指令可提供至通用計算機(jī)�、專用計算機(jī)或其他帶有可編程數(shù)據(jù)處理裝置的處理器的設(shè)備,以使得通過上述各種設(shè)備建立用于實施流程圖及/或模塊圖區(qū)塊中所指定的功能/動作的手段���。
[0081]最后�,需要注意的是�,以上列舉的僅是本發(fā)明的具體實施例。顯然����,本發(fā)明不限于以上實施例���,還可以有很多變形。本領(lǐng)域的普通技術(shù)人員能從本發(fā)明公開的內(nèi)容中直接導(dǎo)出或聯(lián)想到的所有變形�����,均應(yīng)認(rèn)為是本發(fā)明的保護(hù)范圍��。
【權(quán)利要求】
1.一種基于自適應(yīng)代理機(jī)制的肌了����?業(yè)務(wù)防火墻���,用于防御來自客戶端的對受保護(hù)的業(yè)務(wù)系統(tǒng)的攻擊訪問�,其特征在于�����,所述基于自適應(yīng)代理機(jī)制的肌I�����?業(yè)務(wù)防火墻包括代理模塊�、核心控制和安全策略庫���; 所述代理模塊用于接入來自客戶端的肌1?訪問���,然后根據(jù)訪問發(fā)生的時刻���,提取當(dāng)前訪問時間,以及根據(jù)肌1��?協(xié)議規(guī)范����,提取訪問的來源I?和端口����、訪問的目標(biāo)地址、尺691168七�; 代理模塊再將獲得的各項數(shù)據(jù)傳遞給核心控制,等待核心控制的裁決��,并在收到裁決結(jié)論后��,代理模塊根據(jù)裁決結(jié)論予以執(zhí)行;其中�,裁決結(jié)論包括放行、監(jiān)控�����、警告����、攔截; 若代理模塊收到放行���,即檢查通過的結(jié)論后����,代理模塊將當(dāng)前會話的06(11160代理發(fā)送給受保護(hù)的業(yè)務(wù)系統(tǒng)后�,等待接收業(yè)務(wù)系統(tǒng)對轉(zhuǎn)發(fā)的06(11160的回應(yīng)內(nèi)容如鄧如此�,并對回應(yīng)內(nèi)容0681)01186的1116882186-130(17按照肌祖^語言進(jìn)行解析,獲得回應(yīng)內(nèi)容中的可訪問鏈接�����; 所述核心控制是肌嚇業(yè)務(wù)防火墻的控制中心�����,用于負(fù)責(zé)調(diào)度各個模塊的協(xié)作、接受各個模塊的請求�����,并更新安全策略庫中的數(shù)據(jù)記錄��、工作模式�、工作方法; 核心控制能提取代理模塊傳遞的肌1�����?訪問的數(shù)據(jù)�,肌1?訪問的數(shù)據(jù)包括來源I��?�����、來源端口�����、目的I?��、目的端口���、請求的現(xiàn)匕請求的冊仙現(xiàn)��、肌1�?請求的8001���,調(diào)用客戶端許可策略對客戶端來源進(jìn)行檢查: 若客戶端的檢查結(jié)論為不安全�,根據(jù)結(jié)論的不同風(fēng)險級別����,命令代理模塊對該次訪問進(jìn)行攔截處理,不進(jìn)入后續(xù)檢查步驟�; 若客戶端的檢查結(jié)論為安全,則繼續(xù)調(diào)用客戶端會話狀態(tài)庫對客戶端狀態(tài)進(jìn)行檢查����,對于客戶端來源信息已經(jīng)處于客戶端會話狀態(tài)庫的數(shù)據(jù)記錄中的會話���,作為已有會話���,否則作為新會話�����;若判斷為新會話�,則將當(dāng)前請求的肌1���?訪問的數(shù)據(jù)傳遞給起始地址白名單進(jìn)行檢查���,檢查通過,就將該新會話加入客戶端會話狀態(tài)庫��,由代理模塊將該請求代理發(fā)送給受保護(hù)的業(yè)務(wù)系統(tǒng)���,并繼續(xù)整個流程處理�����;若判斷為已有會話��,則將當(dāng)前請求的肌1����?訪問的數(shù)據(jù)傳遞給起始地址白名單和后續(xù)地址白名單,由兩個模塊分別進(jìn)行檢查�,若其中任何一個模塊的檢查結(jié)論為通過的,由代理模塊將該請求代理發(fā)送給受保護(hù)的業(yè)務(wù)系統(tǒng)����,并繼續(xù)整個流程處理;否則按照攔截的結(jié)論進(jìn)行處理�; 所述安全策略庫包括子模塊:客戶端許可策略、客戶端會話狀態(tài)庫�����、起始地址白名單和后續(xù)地址白名單���,且安全策略庫記錄有業(yè)務(wù)防火墻的初始化數(shù)據(jù)����,包括客戶端許可策略的初始化數(shù)據(jù)�����、起始地址白名單的初始化數(shù)據(jù)��; 安全策略庫用于接受核心控制調(diào)度�,實現(xiàn)下述功能:按照核心控制的調(diào)度�,調(diào)整客戶端對應(yīng)的客戶端會話狀態(tài)數(shù)據(jù)和后續(xù)地址白名單�����,且允許在線維護(hù)����、更新客戶端許可策略和起始地址白名單的數(shù)據(jù)�;按照核心控制的調(diào)度,根據(jù)客戶端及對應(yīng)的相關(guān)策略����,進(jìn)行相應(yīng)的安全檢查,并返回裁決結(jié)論給核心控制����; 所述客戶端許可策略是描述肌了?業(yè)務(wù)防火墻允許接入的客戶端的許可策略���,且只有列入許可策略的來源����,方才允許接入���,否則將被攔截�����;許可策略中包括客戶端來源���; 所述客戶端會話狀態(tài)庫用于保存肌1��?業(yè)務(wù)防火墻允許進(jìn)入的客戶端的規(guī)則�,且允許進(jìn)入的客戶端的規(guī)則以白名單的方式列出了允許接入受保護(hù)系統(tǒng)的客戶端的清單�����;每條允許進(jìn)入的客戶端的規(guī)則指定了受保護(hù)系統(tǒng)的地址�����、代理模塊的接入地址�、允許進(jìn)入的客戶端來源; 所述起始地址白名單由起始地址白名單規(guī)則組成���,起始地址白名單規(guī)則能實現(xiàn)下述功能:接受核心控制的調(diào)度�����,能查詢�、增加、刪除該客戶端對應(yīng)的起始地址規(guī)則�����;接受核心控制的調(diào)度����,檢查該客戶端在當(dāng)前會話狀態(tài)時�����,是否有權(quán)以起始地址的方式訪問該起始地址�;其中,起始地址白名單規(guī)則包括客戶端條件���、客戶端會話狀態(tài)條件����、起始地址�; 所述后續(xù)地址白名單由后續(xù)地址白名單規(guī)則組成,后續(xù)地址白名單規(guī)則能實現(xiàn)下述功能:接受核心控制的調(diào)度��,能查詢、增加����、刪除該客戶端對應(yīng)的后續(xù)地址規(guī)則;接受核心控制的調(diào)度�����,檢查該客戶端在當(dāng)前會話狀態(tài)時�����,是否有權(quán)以后續(xù)地址的方式訪問該后續(xù)地址���;其中���,后續(xù)地址白名單規(guī)則包括客戶端條件、客戶端會話狀態(tài)條件����、后續(xù)地址。
2.根據(jù)權(quán)利要求1所述的一種基于自適應(yīng)代理機(jī)制的肌1�?業(yè)務(wù)防火墻,其特征在于,所述核心控制能進(jìn)行人機(jī)交互�����,核心控制通過輸出設(shè)備輸出數(shù)據(jù)��、訊號�����,并通過輸入設(shè)備獲取外部輸入�����,從而實現(xiàn)人機(jī)交互��。
3.根據(jù)權(quán)利要求2所述的一種基于自適應(yīng)代理機(jī)制的肌1��?業(yè)務(wù)防火墻����,其特征在于�����,所述輸出設(shè)備包括屏幕、喇叭�����、燈光���,輸入設(shè)備包括鍵盤���、鼠標(biāo)。
4.根據(jù)權(quán)利要求1所述的一種基于自適應(yīng)代理機(jī)制的肌1����?業(yè)務(wù)防火墻,其特征在于���,所述客戶端許可策略中的客戶端來源包括來源I�?���、來源端口�����,且客戶端來源能通過正則表達(dá)式進(jìn)行標(biāo)識���,也能采用通用的“ ���? 通配符進(jìn)行記錄,并支持區(qū)段方式標(biāo)記���。
5.根據(jù)權(quán)利要求1所述的一種基于自適應(yīng)代理機(jī)制的肌1�?業(yè)務(wù)防火墻����,其特征在于,所述客戶端會話狀態(tài)庫中的每條允許進(jìn)入的客戶端的規(guī)則��,能通過正則表達(dá)式進(jìn)行標(biāo)識���,也能采用通用的“? 通配符進(jìn)行記錄�,并支持區(qū)段方式標(biāo)記。
6.根據(jù)權(quán)利要求1所述的一種基于自適應(yīng)代理機(jī)制的業(yè)務(wù)防火墻��,其特征在于���,所述基于自適應(yīng)代理機(jī)制的肌1��?業(yè)務(wù)防火墻的攔截結(jié)論的處理方式��,為代理模塊直接關(guān)閉客戶端當(dāng)前連接或者回應(yīng)拒絕服務(wù)的回應(yīng)頁面后關(guān)閉連接��。
7.根據(jù)權(quán)利要求1所述的一種基于自適應(yīng)代理機(jī)制的肌1��?業(yè)務(wù)防火墻����,其特征在于,所述起始地址白名單在肌了�����?業(yè)務(wù)防火墻初始化時�����,根據(jù)系統(tǒng)運行的設(shè)定預(yù)置記錄��;且起始地址白名單能根據(jù)系統(tǒng)運行需要�,設(shè)定不同的模式:根據(jù)客戶端來源,為不同的來源指定不同的起始地址鏈接記錄��;對所有客戶端來源�,設(shè)定相同的起始地址鏈接記錄�。
8.根據(jù)權(quán)利要求1所述的一種基于自適應(yīng)代理機(jī)制的肌1����?業(yè)務(wù)防火墻,其特征在于���,所述核心控制對安全策略庫中數(shù)據(jù)記錄的更新包括: 對后續(xù)地址白名單的更新:代理模塊獲得業(yè)務(wù)系統(tǒng)對該請求的回應(yīng)內(nèi)容的可訪問鏈接后�����,核心控制將可訪問鏈接更新到后續(xù)地址白名單中����,且能采用兩種模式實現(xiàn):將可訪問鏈接記錄追加到后續(xù)地址白名單中����,并將鏈接記錄與會話對應(yīng);清除可訪問鏈接對應(yīng)該會話的所有舊鏈接記錄�����,將新獲得的與會話對應(yīng)的鏈接記錄加入到后續(xù)地址白名單中�; 對客戶端會話狀態(tài)庫的更新:核心控制將當(dāng)前訪問地址更新到客戶端會話狀態(tài)庫中��,且能采用兩種模式實現(xiàn):客戶端會話狀態(tài)庫中只保存一條當(dāng)前步驟鏈接記錄,用當(dāng)前訪問的鏈接記錄直接覆蓋原有記錄����;客戶端會話狀態(tài)庫中保存多條當(dāng)前步驟鏈接記錄,將當(dāng)前訪問的連接記錄添加進(jìn)去����; 核心控制能定期檢查客戶端會話狀態(tài)庫,對已有會話的記錄進(jìn)行過期檢查�,若記錄已到過期時間則進(jìn)行清除;其中�,過期時間是指當(dāng)前時間加上有效期時長得到的時間戳,且核心控制在當(dāng)前請求為已有會話的情況下����,調(diào)用客戶端會話狀態(tài)庫對已有會話的有效期時長,按照預(yù)先設(shè)置的會話有效期時長進(jìn)行延長�。
9.根據(jù)權(quán)利要求1所述的一種基于自適應(yīng)代理機(jī)制的肌1?業(yè)務(wù)防火墻�����,其特征在于����,所述基于自適應(yīng)代理機(jī)制的肌1����?業(yè)務(wù)防火墻采用兩種模式來處理客戶端重復(fù)發(fā)送當(dāng)前請求:將當(dāng)前訪問的地址作為后續(xù)地址添加到后續(xù)地址白名單中����;不將當(dāng)前訪問的地址加入起始地址白名單和后續(xù)地址白名單,若業(yè)務(wù)系統(tǒng)對當(dāng)前請求的回應(yīng)內(nèi)容中不包含當(dāng)前請求的鏈接地址時�����,不允許刷新頁面重新訪問當(dāng)前地址����。
【文檔編號】H04L29/08GK104394122SQ201410603197
【公開日】2015年3月4日 申請日期:2014年10月31日 優(yōu)先權(quán)日:2014年10月31日
【發(fā)明者】王錦龍, 范淵 申請人:杭州安恒信息技術(shù)有限公司