基于云WAF流量调度方法、装置、设备及介质与流程

本公开涉及物联网，尤其涉及一种基于云waf流量调度方法、装置、电子设备及介质。

背景技术：

1、传统云waf部署方案采用dns反向代理技术，用户只需修改防护对象dns指向，将网站域名解析至网盾防护平台，再由网盾防护平台通过反向代理的方式访问用户真实服务器，由此完成流量牵引。

2、云waf模式的产品有着很多优势，但其基于域名牵引反向代理的云waf部署也存在着一些问题。其一，存在轻易被绕过的风险。云waf的主要实现原理是通过将用户的dns解析到云节点实现防护，如果黑客通过相关手段获取了服务器的真实ip地址，然后强制解析域名，就可以轻松绕过云waf对服务器发起攻击。其二，保密性低。网站访问数据对于一些企业、机构来说为保密数据，里面可能包含用户的隐私或者商业信息，这些数据自行管控会相对安全，但是如果使用waf，所有的数据会记录到云端，这相当于数据被别人保管，可能存在一定的泄露风险。

技术实现思路

1、鉴于上述问题，本发明提供了一种基于云waf流量调度方法，以解决上述技术问题。

2、本公开的第一个方面提供了一种基于云waf流量调度方法，包括：构建流控平台，所述流控平台与骨干网边界设备的互联启用bgp协议，所述骨干网的站点的as为不对外发布的私有号码；在所述流控平台上部署所述骨干网中受保护站点路由和云盾waf地址；当用户产生入站流量时，通过所述流控平台使用策略路由将所述入站流量转发至所述云盾waf，清洗所述入站流量；将清洗后的所述入站流量回注给所述流控平台，通过所述流控平台将所述入站流量牵引至所述受保护站点路由，经过所述受保护站点路由将所述入站流量牵引至目标服务器。

3、根据本公开的实施例，所述构建流控平台，所述流控平台与骨干网边界设备的互联启用bgp协议包括：在所述流控平台上的bgp进程下，通过network将所述受保护站点路由发布进bgp进程中；将所述受保护站点路由的团体属性设置为no_advertise，避免路由环路。

4、根据本公开的实施例，所述方法还包括：禁止向所述流控平台推送所述骨干网的全局路由表。

5、根据本公开的实施例，所述当用户产生入站流量时，通过所述流控平台使用策略路由将所述入站流量转发至所述云盾waf，清洗所述入站流量包括：通过所述流控平台使用策略路由将所述入站流量转发至所述云盾waf，将所述入站流量中用户的源地址替换为云盾waf地址。

6、根据本公开的实施例，所述方法还包括：当所述目标服务器获取所述入站流量并产生回包后，通过受保护站点路由并根据所述策略路由的优先级将所述回包牵引至所述流控平台；通过所述流控平台将所述回包牵引至所述云盾waf清洗后，经过所述流控平台返回给用户。

7、根据本公开的实施例，所述通过所述流控平台将所述回包牵引至所述云盾waf清洗后，经过所述流控平台返回给用户包括通过所述流控平台使用策略路由将所述回包牵引给所述云盾waf；通过所述云盾waf将所述回包的源地址替换为用户真实的源地址后，经过所述流控平台发送给所述用户。

8、根据本公开的实施例，所述流控平台为三层交换机。

9、本公开的第二个方面提供了一种基于云waf流量调度装置，包括：平台互联模块，用于构建流控平台，所述流控平台与骨干网边界设备的互联启用bgp协议，所述骨干网的站点的as为不对外发布的私有号码；配置部署模块，用于在所述流控平台上部署所述骨干网中受保护站点路由和云盾waf地址；数据清洗模块，用于当用户产生入站流量时，通过所述流控平台使用策略路由将所述入站流量转发至所述云盾waf，清洗所述入站流量；路由转发模块，用于将清洗后的所述入站流量回注给所述流控平台，通过所述流控平台将所述入站流量牵引至所述受保护站点路由，经过所述受保护站点路由将所述入站流量牵引至目标服务器。

10、本公开的第三个方面提供了一种电子设备，包括：存储器，处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时，实现所述基于云waf流量调度方法中的各个步骤。

11、本公开的第四个方面提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现所述基于云waf流量调度方法中的各个步骤。

12、在本公开实施例采用的上述至少一个技术方案能够达到以下有益效果：

13、该方案在骨干网内进行云waf部署，即可以解决被绕过的风险，保证数据的保密性，也可以加强数据的保密性。此种模式将强制进行清洗和路径规划，即使得到真实服务器ip，也无法绕过直接进行访问，由于所有防护站点流量均在教育网内部流转，也增强了数据的保密性。

技术特征：

1.一种基于云waf流量调度方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述构建流控平台，所述流控平台与骨干网边界设备的互联启用bgp协议包括：

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

4.根据权利要求1所述的方法，其特征在于，所述当用户产生入站流量时，通过所述流控平台使用策略路由将所述入站流量转发至所述云盾waf，清洗所述入站流量包括：

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

6.根据权利要求1所述的方法，其特征在于，所述通过所述流控平台将所述回包牵引至所述云盾waf清洗后，经过所述流控平台返回给用户包括：

7.根据权利要求1所述的方法，其特征在于，所述流控平台为三层交换机。

8.一种基于云waf流量调度装置，其特征在于，包括：

9.一种电子设备，包括：存储器，处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时，实现权利要求1至7中的任一项所述基于云waf流量调度方法中的各个步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现权利要求1至7中的任一项基于云waf流量调度方法中的各个步骤。

技术总结
本公开提供了一种基于云WAF流量调度方法，包括：构建流控平台，流控平台与骨干网边界设备的互联启用BGP协议，骨干网的站点的AS为不对外发布的私有号码；在流控平台上部署骨干网中受保护站点路由和云盾WAF地址；当用户产生入站流量时，通过流控平台使用策略路由将入站流量转发至云盾WAF，清洗入站流量；将清洗后的入站流量回注给流控平台，通过流控平台将入站流量牵引至受保护站点路由，经过受保护站点路由将入站流量牵引至目标服务器。

技术研发人员：张云飞,李星,吴建平,李威,邓斌,王飞,郝子剑,杜孟佳
受保护的技术使用者：赛尔网络有限公司
技术研发日：
技术公布日：2024/1/15