透明接入 WAF

1. 透明接入WAF 云舒(yunshu@outlook.com) 2014-01-09

2. WAF的变迁 • 传统WAF • 硬件盒子 • 集中式云WAF • 修改域名指向

3. 现有云WAF的问题 • 用户不愿意 • 修改域名指向的IP地址影响SEO效果 • 愿意的用户不会弄 • 只有10%的用户能够正确修改域名指向

4. SO What？ • 传统WAF • 硬件盒子 • 集中式云WAF • 修改域名指向 • 透明云WAF • 用户0干扰

5. HOW ？ • 流量回注 • 静态路由+MPLS回注！ • PBR策略路由？ • GRE Tunnel回注？ • Other？ • 流量牵引 • BGP！ • SDN？ • Flow-Spec？ • Other？

6. HOW ？ • HTTP流量处理 • 利用系统自身TCP/IP协议栈，结合反向代理！ • 自主实现TCP会话重组？

7. DETAIL • 双端口万兆网卡服务器 • Eth4牵引流量 • Eth5回注流量 • Bond0管理服务器

8. DETAIL • Quagga软路由 • 发布自身公网IP地址。 • 配置BGP协议，发布牵引目标路由信息。

9. DETAIL • 流量转发、改写 • Iptables的DNAT功能重写80端口流量的目的IP地址 • 系统自带转发功能ip_forward转发非80端口流量 还好DNAT优先级高于转发啊！！

10. DETAIL • WAF模块 • 部署Tengine监听本机公网IP地址 • 加载WAF模块，配置正向代理

11. 简化架构示意图 IDC机房 ABTN骨干网 Core router Core router Core router MPLS CC Server BGP牵引 静态路由 WAF DNAT IP_Forward

12. 故障处理 • BGP链路完好，秒级切换 • 域名WAF需要多久？ • 链路故障，180秒内BGP邻居自动取消 • 监控系统进行健康检查，自动切换 • 机器负载 • WAF性能 • BPS、PPS • 其它更多

13. 性能优化 • 开发内核模块 • 取代iptable的DNAT功能 • 取代系统自带的ip_forward功能 • DPDK？ • Intel® DPDK is a set of libraries and drivers for fast packet processing on x86 platforms. It runs mostly in Linux userland. • receive and send packets within the minimum number of CPU cycles (usually less than 80 cycles)

14. Is that all?

15. 理想 将安全从封闭的硬件盒子中解放出

16. 架构 业务VM 业务VM 业务VM 云用户 Firewall Image IPS Image WAF Image 众多安全厂商 IAAS（基础架构即服务） 云提供商

17. 吐槽 • 需要什么？ • SDN • 安全厂商支持 • 时间点 • 鬼才知道