云舒(yunshu@outlook.com) 2014-01-09 透明接入WAF 云舒(yunshu@outlook.com) 2014-01-09
WAF的变迁 传统WAF 硬件盒子 集中式云WAF 修改域名指向
现有云WAF的问题 用户不愿意 修改域名指向的IP地址影响SEO效果 愿意的用户不会弄 只有10%的用户能够正确修改域名指向
SO What? 传统WAF 硬件盒子 集中式云WAF 修改域名指向 透明云WAF 用户0干扰
HOW ? 流量牵引 流量回注 BGP! SDN? Flow-Spec? Other? 静态路由+MPLS回注! PBR策略路由? GRE Tunnel回注? Other?
HOW ? HTTP流量处理 利用系统自身TCP/IP协议栈,结合反向代理! 自主实现TCP会话重组?
DETAIL 双端口万兆网卡服务器 Eth4牵引流量 Eth5回注流量 Bond0管理服务器
DETAIL Quagga软路由 发布自身公网IP地址。 配置BGP协议,发布牵引目标路由信息。
DETAIL 流量转发、改写 Iptables的DNAT功能重写80端口流量的目的IP地址 系统自带转发功能ip_forward转发非80端口流量 还好DNAT优先级高于转发啊!!
DETAIL WAF模块 部署Tengine监听本机公网IP地址 加载WAF模块,配置正向代理
简化架构示意图 ABTN骨干网 IDC机房 Core router Core router Core router MPLS CC Server BGP牵引 静态路由 WAF DNAT IP_Forward
故障处理 BGP链路完好,秒级切换 链路故障,180秒内BGP邻居自动取消 监控系统进行健康检查,自动切换 域名WAF需要多久? 机器负载 BPS、PPS 其它更多
性能优化 开发内核模块 DPDK? 取代iptable的DNAT功能 取代系统自带的ip_forward功能 Intel® DPDK is a set of libraries and drivers for fast packet processing on x86 platforms. It runs mostly in Linux userland. receive and send packets within the minimum number of CPU cycles (usually less than 80 cycles)
Is that all?
理想 将安全从封闭的硬件盒子中解放出
架构 业务VM 业务VM 业务VM 云用户 Firewall Image IPS Image WAF Image 众多安全厂商 IAAS(基础架构即服务) 云提供商
吐槽 需要什么? SDN 安全厂商支持 时间点 鬼才知道