2000亿!单日检测流量,长亭WAF花式演绎

阅读量207006

发布时间 : 2023-02-27 14:31:40

已知:
单日请求流量>2000亿
Web攻击峰值>80万
检测耗时<0.5ms
故障率=0

求:攻击拦截率

WAF怎么解这道大流量检测难题?

来看长亭的三大实践。

 

实践一:全球流量Top级视频网站,业务不中断

流量有多大?

※ 月活用户2.5亿+,日播放量过亿;
※ 日常流量高达300万+QPS,特殊时期设备负载直接100%。

怎么防护?

私有云集群嵌入式部署,不改变原有网络拓扑接入网络,70+个检测节点。

方案使用 Nginx 作为反向代理,雷池(SafeLine)提供 Nginx Module 插入原有Nginx,采用物理旁路、逻辑串联的方式接入网络,不改变原有网络拓扑的情况下完成流量检测工作。

稳定性如何?

平均检测耗时0.5ms,不中断业务,在设备负载100%的极端情况下依然0故障稳定运行。

 

实践二:国内超大政务云,24小时0宕机

环境有多复杂?

※ “24小时”在线型政府,覆盖80+个厅局,服务2000万+自然人、上百万企业用户;
※ 网络环境复杂,十余个Region,百级VPC,万级主机;
※ 云上数千个业务系统,包括公共支付、健康码、网上办事APP等高并发业务。

实时性要求多高?

※ 用户群庞大,日常峰值QPS超10万级QPS、峰值流量过百G,访问不能延迟;
※ 每天24小时都会产生用户访问,高稳定性不宕机;
※ 网站数量在3年内增长了几千+,安全防护策略随之快速调整。

怎么防护?

雷池(SafeLine)采用云原生的架构,存储、计算、网络、身份融入与云基础设施中,同时,基于用户应用优先级,分层、分布式部署检测集群,根据业务设定不同的引擎策略,实现跨Region的统一管理。此外考虑稳定性强需求,异构10-20%的峰值流量到公共云WAF防御。这个高可用架构,一旦出现抖动等不稳定的情况,可以快速保障用户体验。

 

实践三:国内最大招聘网站,流量季节性变动明显

流量变动有多大?

累计服务认证求职者超过1亿人,平均每月产生30亿条信息,招聘季业务量激增,是平时流量的两倍。

怎么防护?

客户借助两家云平台解决流量不平衡的状况,安全防护也要随业务变动方便弹性扩容。

雷池(SafeLine)管理、检测、日志模块分布式部署在客户的阿里云和腾讯云环境中,检测节点灵活扩展,并在管理模块统一调度下形成软件集群,对所有业务的策略统管。

漂亮的成绩离不开背后的“科技与狠活”,雷池(SafeLine)下一代Web应用防火墙稳定处理大流量的秘笈是“架构设计”和“检测策略”。

 

架构设计

雷池(SafeLine)以工程化+科学化思想设计架构,不但能够实时横向弹性扩缩容,处理瞬间指数级增长/减少的流量,在既定资源和环境下,单节点的处理性能纵向也能快速提升。

能力模块化,普通资源实现“大能力”

雷池(SafeLine)将所有的能力模块化,各容器模块分别具有不同的算法功能,所有模块都可以独立部署,并且相同模块可以形成软件集群。一方面,集群依据实际性能损耗水平增删检测节点数量,当需要扩容时,仅需简便增加检测模块;另一方面可以把不同的功能组件部署至特定的服务器,最大化的利用服务资源,解决常规的WAF方案受限于架构不能优化CPU、内存等性能问题。

集群部署模式,水平扩展无上限

雷池(SafeLine)支持两种集群模式,分别为反向代理集群和嵌入式集群,两种模式均有着良好的水平扩展方式,理论上能支持无上限的并发处理量,解决大流量网站架构的部署需求。其中当雷池(SafeLine)以特有的嵌入式集群反向代理模式运行时,可以在不改变现有网络拓扑的情况下完成流量检测工作,且所占用的资源能够大约降低一倍。

微服务架构,吃透云属性

雷池(SafeLine)基于K8s的弹性扩缩容,将检测和转发服务抽离,在云环境中定时检测Pod计算资源状态,依托K8s组件对资源的监测和计算,自动检测节点的增加与减少,根据业务需求实现自动扩缩容。

同时,雷池(SafeLine)充分与云内基础设施打通,利用云资源管理平台对计算资源、网络资源和存储容量的管理调度机制,当单个节点因为流量处理性能达到上限时,可通过内部消息通信机制让渡资源,将部分流量迁移至其他节点,来保障业务的稳定性,让安全也吃透云属性。

检测策略和技术

雷池(SafeLine)采用智能语义分析算法,赋予WAF“会思考的大脑”,面对顶级流量,100%拦截攻击,精准且稳定。

高性能算法,缩短检测时间

雷池(SafeLine)智能语义分析引擎,基于业务Payload的编码进行分析和检测,不同于传统的规则匹配,无需将所有的流量信息与规则库逐一匹配,在固定资源条件下,时间复杂度更低,处理能力更强,百倍降低用户访问服务的延迟。

实时同步检测,毫秒级响应

雷池(SafeLine)检测环节采用全异步I/O模型与多进程并发模型,检测模块实时同步检测流量后立即放行或拦截,无需排队等待分析后再处置,避免了因处理延迟对业务造成的影响。

语义分析精准拦截,零误伤

雷池(SafeLine)内置智能威胁识别引擎,通过各类编程语言编译系统,对攻击Payload进行语义分析,识别其真正意图,能够检测多种基于上下文无关文法攻击,阻断70%的0day漏洞攻击。

本文由长亭科技原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/286756

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
长亭科技
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66