2000亿！单日检测流量，长亭WAF花式演绎

已知：
单日请求流量>2000亿
Web攻击峰值>80万
检测耗时<0.5ms
故障率=0

求：攻击拦截率

WAF怎么解这道大流量检测难题？

来看长亭的三大实践。

 

实践一：全球流量Top级视频网站，业务不中断

流量有多大？

※ 月活用户2.5亿+，日播放量过亿；
※ 日常流量高达300万+QPS，特殊时期设备负载直接100%。

怎么防护？

私有云集群嵌入式部署，不改变原有网络拓扑接入网络，70+个检测节点。

方案使用 Nginx 作为反向代理，雷池（SafeLine）提供 Nginx Module 插入原有Nginx，采用物理旁路、逻辑串联的方式接入网络，不改变原有网络拓扑的情况下完成流量检测工作。

稳定性如何？

平均检测耗时0.5ms，不中断业务，在设备负载100%的极端情况下依然0故障稳定运行。

 

实践二：国内超大政务云，24小时0宕机

环境有多复杂？

※ “24小时”在线型政府，覆盖80+个厅局，服务2000万+自然人、上百万企业用户；
※ 网络环境复杂，十余个Region，百级VPC，万级主机；
※ 云上数千个业务系统，包括公共支付、健康码、网上办事APP等高并发业务。

实时性要求多高？

※ 用户群庞大，日常峰值QPS超10万级QPS、峰值流量过百G，访问不能延迟；
※ 每天24小时都会产生用户访问，高稳定性不宕机；
※ 网站数量在3年内增长了几千+，安全防护策略随之快速调整。

怎么防护？

雷池（SafeLine）采用云原生的架构，存储、计算、网络、身份融入与云基础设施中，同时，基于用户应用优先级，分层、分布式部署检测集群，根据业务设定不同的引擎策略，实现跨Region的统一管理。此外考虑稳定性强需求，异构10－２０%的峰值流量到公共云WAF防御。这个高可用架构，一旦出现抖动等不稳定的情况，可以快速保障用户体验。

 

实践三：国内最大招聘网站，流量季节性变动明显

流量变动有多大？

累计服务认证求职者超过1亿人，平均每月产生30亿条信息，招聘季业务量激增，是平时流量的两倍。

怎么防护？

客户借助两家云平台解决流量不平衡的状况，安全防护也要随业务变动方便弹性扩容。

雷池（SafeLine）管理、检测、日志模块分布式部署在客户的阿里云和腾讯云环境中，检测节点灵活扩展，并在管理模块统一调度下形成软件集群，对所有业务的策略统管。

漂亮的成绩离不开背后的“科技与狠活”，雷池（SafeLine）下一代Web应用防火墙稳定处理大流量的秘笈是“架构设计”和“检测策略”。

 

架构设计

雷池（SafeLine）以工程化+科学化思想设计架构，不但能够实时横向弹性扩缩容，处理瞬间指数级增长/减少的流量，在既定资源和环境下，单节点的处理性能纵向也能快速提升。

能力模块化，普通资源实现“大能力”

雷池（SafeLine）将所有的能力模块化，各容器模块分别具有不同的算法功能，所有模块都可以独立部署，并且相同模块可以形成软件集群。一方面，集群依据实际性能损耗水平增删检测节点数量，当需要扩容时，仅需简便增加检测模块；另一方面可以把不同的功能组件部署至特定的服务器，最大化的利用服务资源，解决常规的WAF方案受限于架构不能优化CPU、内存等性能问题。

集群部署模式，水平扩展无上限

雷池（SafeLine）支持两种集群模式，分别为反向代理集群和嵌入式集群，两种模式均有着良好的水平扩展方式，理论上能支持无上限的并发处理量，解决大流量网站架构的部署需求。其中当雷池（SafeLine）以特有的嵌入式集群反向代理模式运行时，可以在不改变现有网络拓扑的情况下完成流量检测工作，且所占用的资源能够大约降低一倍。

微服务架构，吃透云属性

雷池（SafeLine）基于K8s的弹性扩缩容，将检测和转发服务抽离，在云环境中定时检测Pod计算资源状态，依托K8s组件对资源的监测和计算，自动检测节点的增加与减少，根据业务需求实现自动扩缩容。

同时，雷池（SafeLine）充分与云内基础设施打通，利用云资源管理平台对计算资源、网络资源和存储容量的管理调度机制，当单个节点因为流量处理性能达到上限时，可通过内部消息通信机制让渡资源，将部分流量迁移至其他节点，来保障业务的稳定性，让安全也吃透云属性。

检测策略和技术

雷池（SafeLine）采用智能语义分析算法，赋予WAF“会思考的大脑”，面对顶级流量，100%拦截攻击，精准且稳定。

高性能算法，缩短检测时间

雷池（SafeLine）智能语义分析引擎，基于业务Payload的编码进行分析和检测，不同于传统的规则匹配，无需将所有的流量信息与规则库逐一匹配，在固定资源条件下，时间复杂度更低，处理能力更强，百倍降低用户访问服务的延迟。

实时同步检测，毫秒级响应

雷池（SafeLine）检测环节采用全异步I/O模型与多进程并发模型，检测模块实时同步检测流量后立即放行或拦截，无需排队等待分析后再处置，避免了因处理延迟对业务造成的影响。

语义分析精准拦截，零误伤

雷池（SafeLine）内置智能威胁识别引擎，通过各类编程语言编译系统，对攻击Payload进行语义分析，识别其真正意图，能够检测多种基于上下文无关文法攻击，阻断70%的0day漏洞攻击。