(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211045771.3 (22)申请日 2022.08.30 (71)申请人 中电云数智科技有限公司 地址 430058 湖北省武汉市蔡甸区经济技 术开发区人工智能科技园N栋研发楼3 层N3013号 (72)发明人 张贤义　 (74)专利代理 机构 北京尚钺知识产权代理事务 所(普通合伙) 11723 专利代理师 王海荣 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/1001(2022.01) (54)发明名称 一种WAF旁路部署系统和方法 (57)摘要 本发明涉及WAF部署技术领域， 提供一种WAF 旁路部署系统和方法， 本发明的系统包括： 客户 端， 用于向LB/Connector发送请求报文或接收 LB/Connector返回的应答报文； LB/Connector， 用于主动与WAF建立TCP长连接， 从WAF获取每个 域名的检测配置， 根据域名的检测配置将接收的 请求报文或应答报文直接转发放行或发送至 WAF， 并根据收到检测结果的时间及检测结果， 对 请求报文或应答报文进行拦截或放行； WAF， 用于 为检测引擎编译域名检测配置的检测规则集， 对 接收的请求报文或应答报文进行检测， 将检测结 果返回至LB/Connector； 源站， 用于接收请求报 文后将应答报 文发送至LB/Connector。 根据本发 明示例性实施例的WAF旁路部署系统和方法， 可 以降低资源占用， 提高处理效率， 提高转发安全 性， 且可适用于多种用户场景。 权利要求书2页 说明书6页 附图3页 CN 115529164 A 2022.12.27 CN 115529164 A 1.一种WAF 旁路部署系统， 其特 征在于， 所述系统， 包括： 客户端， 用于向LB/ Connector发送请求报文或接收LB/ Connector返回的应答报文； LB/Connector， 用于主动与WAF建立TCP长连接， 从WAF获取每个域名的检测配置， 根据 域名的检测配置将接收的请求报文或应答报文直接转发放行或发送至WAF， 并根据收到检 测结果的时间及检测结果， 对请求报文或应答报文 进行拦截或放行； WAF， 用于为检测引擎编译域名检测配置的检测规则集， 对接收的请求报文或应答报文 进行检测， 将检测结果返回至LB/ Connector； 源站， 用于 接收请求报文后将应答报文发送至LB/ Connector。 2.根据权利要求1所述的WAF旁路部署系统， 其特征在于， LB/Connector用于： 收到请求 报文或应答报文后生 成连接标识， 从请求报文中提取域名， 根据从WAF获取的域名的检测配 置确定需要进 行检测的域名， 根据对应的域名检测配置从 需要进行域名检测的报文中提取 对应位置的待检测字段， 将连接标识和待检测字段以私有协 议的形式封装后发送到WAF， 并 采用OpenResty提供的协程套接字对应的API接口设置超时机制； 将不需要进行域名检测的 请求报文直接放行至源站。 3.根据权利要求1所述的WAF旁路部署系统， 其特征在于， LB/Connector还用于： 如果在 超时前收到请求报文的检测结果， 根据检测结果将请求报文放行至源站或对请求报文进 行 拦截； 如果在 超时前未收到检测结果， 将请求报文放行至源站； 如果在 超时前收到应答报文 的检测结果， 根据检测结果将应答报文放行至客户端或对请求报文进行拦截； 如果在超时 前未收到检测结果， 将应答报文放行至客户端。 4.根据权利要求1所述的WAF旁路部署系 统， 其特征在于， WAF用于： 接收并解析封装后 的私有协议， 提取待检测的字段， 使用检测引擎对待检测的字段进行检测， 生成检测结果， 将连接标识和检测结果以私有协议的形式封装后返回至LB/ Connector。 5.根据权利要求4所述的WAF旁路部署系 统， 其特征在于， 提取待检测的字段， 包括： 从 封装后的私有协议中提取域名， 根据不同域名将待检测字段对应不同的检测规则集。 6.根据权利要求4所述的WAF旁路部署系统， 其特征在于， 使用检测引擎对待检测的字 段进行检测， 生成检测结果， 包括： 检测引擎通过匹配规则对待检测的字段进行匹配， 根据 匹配到的攻击特征返回对应的规则ID匹配集， 将返回的规则ID匹配集与域名配置的检测规 则集合进行相与， 生成规则结果 集， 并为每 个匹配规则生成对应的攻击日志。 7.一种基于权利要求1 ‑6任一所述的系统的WAF旁路部署方法， 其特征在于， 所述方法， 包括： 步骤S1： 通过客户端向LB/ Connector发送请求报文； 步骤S2： 通过LB/Connector 从WAF获取每个域名的检测配置， 根据域名的检测配置将需 要进行域名检测的请求报文发送至WAF； 步骤S3： WAF对接收的请求报文 进行检测， 将检测结果返回至LB/ Connector； 步骤S4： LB/Connector根据收到检测结果的时间及检测结果， 将请求报文放行至源站 或对请求报文 进行拦截； 步骤S5： 源站接收请求报文后将应答报文返回至客户端。 8.根据权利要求7 所述的WAF 旁路部署方法， 其特 征在于， 步骤S2， 包括 步骤S21： LB/ Connector收到请求报文后生成连接标识；权　利　要　求　书 1/2 页 2 CN 115529164 A 2步骤S22： LB/Connector从请求报文中提取域名， 根据从WAF获取的域名的检测配置确 定需要进行检测的域名； 步骤S23： LB/Connector根据对应 的域名检测配置从需要进行域名检测的报文中提取 对应位置的待检测字段； 步骤S24： LB/Connector将连接标识和待检测字段以私有协议的形式封装后发送到 WAF， 设置超时机制。 9.根据权利要求8所述的WAF旁路部署方法， 其特征在于， 步骤S23中， 采用OpenResty提 供的协程套接 字对应的API接口设置超时机制。 10.根据权利要求7所述的WAF旁路部署方法， 其特征在于， 步骤S2还包括： 通过LB/ Connector从WAF获取每个域名的检测配置， 根据域名的检测配置将不需要进行域名检测的 请求报文直接放行至源站。 11.根据权利要求7 所述的WAF 旁路部署方法， 其特 征在于， 步骤S3， 包括： 步骤S31： WAF接收并解析封装后的私有协议， 提取待检测的字段； 步骤S32： WAF使用检测引擎对待检测的字段进行检测， 生成检测结果； 步骤S33： WAF将连接标识和检测结果以私有协议的形式封装后返回至LB/ Connector。 12.根据权利要求11所述的WAF旁路部署方法， 其特征在于， 步骤S31中， 提取待检测的 字段， 包括： 从封装后的私有协 议中提取域名， 根据不同域名将待检测字段对应不同的检测 规则集。 13.根据权利要求1 1所述的WAF 旁路部署方法， 其特 征在于， 步骤S32， 包括： 步骤S321： 检测引擎 通过匹配规则对待检测的字段进行匹配； 步骤S322： 根据匹配到的攻击特 征返回对应的规则ID匹配集； 步骤S323： 将返回的规则ID匹配集与域名配置的检测规则集合进行相与， 生成规则结 果集， 并为每 个匹配规则生成对应的攻击日志。 14.根据权利要求7所述的WAF旁路部署方法， 其特征在于， 步骤S4， 包括： 如果LB/ Connector在超时前收到检测结果， 根据检测结果将请求报文放行至源站或对请求报文进 行拦截； 如果 LB/Connector在超时前 未收到检测结果， 将 请求报文放行至源站。 15.根据权利要求7 所述的WAF 旁路部署方法， 其特 征在于， 步骤S5， 包括： 步骤S51： 源站接收请求报文后将应答报文发送至LB/ Connector； 步骤S52： LB/ Connector将接收的应答报文发送至WAF； 步骤S53： WAF对接收的应答报文 进行检测， 将检测结果返回至LB/ Connector； 步骤S54： LB/Connector根据收到检测结果的时间及检测结果， 将应答报文放行至客户 端或对应答报文 进行拦截。权　利　要　求　书 2/2 页 3 CN 115529164 A 3