透明接入WAF云舒 (yunshu@outlook.com)

2014-01-09

WAF的变迁

传统WAF硬件盒子

集中式云WAF修改域名指向

现有云WAF的问题• 用户不愿意

• 修改域名指向的 IP地址影响 SEO效果

• 愿意的用户不会弄• 只有 10%的用户能够正确修改域名指向

SO WHAT？

传统WAF硬件盒子 集中式云WAF修改域名指向 透明云WAF用户 0干扰

HOW ？• 流量牵引

• BGP！• SDN？• Flow-Spec？• Other？

• 流量回注• 静态路由+MPLS回注！• PBR策略路由？• GRE Tunnel回注？• Other？

HOW ？• HTTP流量处理

• 利用系统自身 TCP/IP协议栈，结合反向代理！• 自主实现 TCP会话重组？

DETAIL

• 双端口万兆网卡服务器• Eth4牵引流量• Eth5回注流量• Bond0管理服务器

DETAIL

• Quagga软路由• 发布自身公网 IP地址。• 配置 BGP协议，发布牵引目标路由信息。

DETAIL

• 流量转发、改写• Iptables的 DNAT功能重写 80端口流量的目的 IP地址• 系统自带转发功能 ip_forward转发非 80端口流量

还好 DNAT优先级高于转发啊！！

DETAIL

• WAF模块• 部署 Tengine监听本机公网 IP地址• 加载WAF模块，配置正向代理

简化架构示意图ABTN骨干网 IDC机房

Core routerCore router

CC

WAF

Core router

Server静态路由

MPLS

BGP牵引

DNATIP_Forward

故障处理• BGP链路完好，秒级切换

• 域名WAF需要多久？• 链路故障， 180秒内 BGP邻居自动取消• 监控系统进行健康检查，自动切换

• 机器负载• WAF性能• BPS、 PPS• 其它更多

性能优化• 开发内核模块

• 取代 iptable的 DNAT功能• 取代系统自带的 ip_forward功能

• DPDK？• Intel® DPDK is a set of libraries and drivers for fast packet processing on x86

platforms. It runs mostly in Linux userland.• receive and send packets within the minimum number of CPU cycles (usually less

than 80 cycles)

Is that all?

理想

将安全从封闭的硬件盒子中解放出

架构

IAAS（基础架构即服务） 云提供商

Firewall Image

IPS Image

WAF Image

众多安全厂商

业务 VM 业务 VM 业务 VM 云用户

吐槽• 需要什么？

• SDN• 安全厂商支持

• 时间点• 鬼才知道