透明接入 WAF
description
Transcript of 透明接入 WAF
透明接入WAF云舒 ([email protected])
2014-01-09
WAF的变迁
传统WAF硬件盒子
集中式云WAF修改域名指向
现有云WAF的问题• 用户不愿意
• 修改域名指向的 IP地址影响 SEO效果
• 愿意的用户不会弄• 只有 10%的用户能够正确修改域名指向
SO WHAT?
传统WAF硬件盒子 集中式云WAF修改域名指向 透明云WAF用户 0干扰
HOW ?• 流量牵引
• BGP!• SDN?• Flow-Spec?• Other?
• 流量回注• 静态路由+MPLS回注!• PBR策略路由?• GRE Tunnel回注?• Other?
HOW ?• HTTP流量处理
• 利用系统自身 TCP/IP协议栈,结合反向代理!• 自主实现 TCP会话重组?
DETAIL
• 双端口万兆网卡服务器• Eth4牵引流量• Eth5回注流量• Bond0管理服务器
DETAIL
• Quagga软路由• 发布自身公网 IP地址。• 配置 BGP协议,发布牵引目标路由信息。
DETAIL
• 流量转发、改写• Iptables的 DNAT功能重写 80端口流量的目的 IP地址• 系统自带转发功能 ip_forward转发非 80端口流量
还好 DNAT优先级高于转发啊!!
DETAIL
• WAF模块• 部署 Tengine监听本机公网 IP地址• 加载WAF模块,配置正向代理
简化架构示意图ABTN骨干网 IDC机房
Core routerCore router
CC
WAF
Core router
Server静态路由
MPLS
BGP牵引
DNATIP_Forward
故障处理• BGP链路完好,秒级切换
• 域名WAF需要多久?• 链路故障, 180秒内 BGP邻居自动取消• 监控系统进行健康检查,自动切换
• 机器负载• WAF性能• BPS、 PPS• 其它更多
性能优化• 开发内核模块
• 取代 iptable的 DNAT功能• 取代系统自带的 ip_forward功能
• DPDK?• Intel® DPDK is a set of libraries and drivers for fast packet processing on x86
platforms. It runs mostly in Linux userland.• receive and send packets within the minimum number of CPU cycles (usually less
than 80 cycles)
Is that all?
理想
将安全从封闭的硬件盒子中解放出
架构
IAAS(基础架构即服务) 云提供商
Firewall Image
IPS Image
WAF Image
众多安全厂商
业务 VM 业务 VM 业务 VM 云用户
吐槽• 需要什么?
• SDN• 安全厂商支持
• 时间点• 鬼才知道