(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210899504.6 (22)申请日 2022.07.28 (71)申请人 深圳奇迹智慧网络有限公司 地址 518000 广东省深圳市罗湖区南湖街 道人民南路3 002号国贸大厦1818 (72)发明人 林锦焕　 (74)专利代理 机构 上海波拓知识产权代理有限 公司 31264 专利代理师 张媛 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 基于OpenResty的防火墙防御方法、 装置、 计 算机设备和存 储介质 (57)摘要 本申请涉及基于OpenResty的防火墙防御方 法、 装置、 计算机设备和存储介质， 方法包括： 接 收访问Web应用服务的请求数据包， 解析请求数 据包中的待检测信息以及若干属性信息； 利用 OpenResty程序中的lua脚本文件， 从OpenResty 程序的Nginx文件的过滤规则库中， 调用多个属 性信息的过滤规则， 生成多层过滤架构， 部分过 滤层连接过滤黑名单； 利用多层过滤架构中的各 项过滤规则与其对应的各项待检测信息进行规 则匹配， 当任一匹配结果满足阻止访问的预设条 件时， 阻止访问Web应用服务， 并丢 弃当前请求数 据包； 若该匹配结果所属过滤层连接过滤黑名 单， 将客户端添加到过滤黑名单中。 本申请利用 多层过滤架构对任意Web访问进行安全性检测， 有效拦截攻击， 有效保障Web应用服务的正常使 用。 权利要求书2页 说明书12页 附图4页 CN 115242535 A 2022.10.25 CN 115242535 A 1.基于OpenResty的防火墙防御方法， 应用于Web服务端， 其特征在于， 所述Web服务端 上配置有Web应用服 务以及利用OpenResty搭建的防火墙； 所述防火墙防御方法包括： 接收客户端访 问所述Web应用服务的请求数据包， 解析所述请求数据包中的若干待检 测信息以及对应的若干属性信息； 利用OpenResty程序中 的lua脚本文件， 从所述OpenRest y程序的Nginx文件的过滤规则 库中， 调用多个对应于所述请求数据包的属性信息的过滤规则， 以生成多层过滤架构， 其 中， 部分过 滤层连接过 滤黑名单； 利用所述多层过滤架构中的各项过滤规则， 对各项所述待检测信息进行规则匹配， 以 获取至少一个匹配结果； 当任一匹配结果满足阻止访问的预设条件时， 阻止访问所述Web应用服务， 并丢弃当前 所述请求数据包； 若与任一所述待检测信 息匹配的过滤层连接所述过滤黑名单， 将所述客户端添加到所 述过滤黑名单中。 2.根据权利要求1所述的基于OpenResty的防火墙 防御方法， 其特征在于， 所述多层过 滤架构中的部分所述过 滤层还连接过 滤白名单； 所述防火墙防御方法包括： 当任一匹配结果满足直通访 问的预设条件时， 跳过其他过滤层中的所述过滤规则， 将 当前所述请求数据包直接放行访问所述Web应用服务， 并将所述客户端添加到所述过滤白 名单中。 3.根据权利要求1所述的基于OpenResty的防火墙 防御方法， 其特征在于， 在接收客户 端访问所述 Web应用服 务的请求数据包之前， 所述防火墙防御方法还 包括： 加载OpenResty程序， 获取Ngi nx模块和lua库； 修改所述 Nginx模块的配置文件； 在所述Nginx模块中的所述Nginx.conf文件上添加对应各类属性信息 的过滤规则， 形 成过滤规则库， 重载OpenResty程序中的Ngi nx服务； 将包括WAF源码的WAF文件添加到OpenResty程序的Nginx路径下， 利用所述lua库中的 所述lua脚本文件， 修改所述WAF文件中的config.lua文件以及lua防火墙规则路径， 以及相 应的过滤规则的启动机制， 以便利用所述lua脚本文件调用所述过滤规则库中的对应于所 述请求数据包中各属性信息的过 滤规则。 4.根据权利要求3所述的基于OpenResty的防火墙防御方法， 其特征在于， 修改所述 Nginx模块的配置文件， 包括： 在http段配置lua_shared_dict  limit 50m， 用于存 储过滤黑名单和/或过 滤白名单； 在http段中配置lua_packa ge_path， 用于修改lua包的匹配路径； 在http段中配置i nit_by_lua_fi le， lua初始化 生命周期， 绑定waf/i nit.lua文件； 在http段中配置ac cess_by_lua_fi le,acces生命周期下配置waf/ac cess.lua文件。 5.根据权利要求2所述的基于OpenResty的防火墙 防御方法， 其特征在于， 所述多层过 滤架构中各 过滤层中的过 滤规则包括： 地址过滤规则、 域名过滤规则、 自定义过滤规则、 referer规则、 url规则、 header规则、 useragent规则、 cookie规则、 GET参数规则、 POST参数规则、 访问频率规则、 内容返回替换规权　利　要　求　书 1/2 页 2 CN 115242535 A 2则。 6.根据权利要求5所述的基于OpenResty的防火墙 防御方法， 其特征在于， 所述待检测 信息包括所述请求数据包中的源IP地址， 其中， 所述源IP地址用于表示所述客户端的身份 信息； 所述 地址过滤规则关联 所述过滤黑名单和所述过 滤白名单； 其中， 利用所述多层过滤架构中的各项过滤规则， 对各项所述待检测信息进行规则匹 配， 以获取至少一个匹配结果， 包括： 将待检测信息中的所述源IP地址分别与所述过滤黑名单、 所述过滤白名单中的IP地址 进行匹配； 所述防火墙防御方法， 还 包括： 当所述源IP地址属于所述过滤黑名单中的IP地址， 判定所述待检测信息满足阻止访问 的预设条件； 当源IP地址属于所述过滤白名单中的IP地址， 判定所述待检测信息满足直通访问的预 设条件。 7.根据权利要求5所述的基于OpenResty的防火墙 防御方法， 其特征在于， 所述待检测 信息包括所述请求数据包中的目标域名； 所述域名过滤规则关联域名准入名单， 所述域名准入名单中包括若干与所述Web应用 服务有关的域名信息； 其中， 利用所述多层过滤架构中的各项过滤规则， 对各项所述待检测信息进行规则匹 配， 以获取至少一个匹配结果， 包括： 将所述目标域名与所述 域名准入名单中的域名信息进行匹配； 所述防火墙防御方法， 还 包括： 当所述目标域名属于所述域名名单的准入域名其中之一 时， 判定所述待检测信 息满足 预设的域名访问条件； 否则阻止访问所述 Web应用服 务。 8.基于OpenResty的防火墙防御装置， 其特 征在于， 所述防火墙防御装置包括： 数据解析模块， 用于接收客户端访问所述Web应用服务的请求数据包， 解析所述请求数 据包中的若干待检测信息以及对应的若干属性信息； 规则调用模块， 用于利用OpenResty程序中的lua脚本文件， 从所述OpenResty程序 的 Nginx文件中预存的过滤规则库中， 调用多个对应于所述请求数据包的属性信息的过滤规 则， 以生成多层过 滤架构， 其中， 部分过 滤层连接过 滤黑名单； 规则匹配模块， 用于利用所述多层过滤架构中的各项过滤规则， 对各项所述待检测信 息进行规则匹配， 以获取至少一个匹配结果； 防御处理模块， 用于当任一匹配结果满足阻止访问的预设条件时， 阻止访问所述Web应 用服务， 并丢弃当前 所述请求数据包； 名单更新模块， 用于若与任一所述待检测信息匹配的过滤层连接所述过滤黑名单， 将 所述客户端添加到所述过 滤黑名单中。 9.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至8中任一项所述方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 115242535 A 3