腾讯web安全

演讲者: 腾讯安全架构师
腾讯8年老员工,一直做腾讯安全

开发

安全规范、安全培训、安全API、安全JS

测试

  • 接入WAF
  • 上线前安全扫描

扫描器:

  • 扫描程序架构: 全异步事件驱动 + 协程
  • 规则: 检测逻辑、配置(lua脚本(性能高(1/4 c))、实时更新
  • 任务调度系统: Gearman: 系统优先级,多任务类型、任务出错重试、超时
  • 爬虫: webkit后台server,与调度系统结合

WAF方案

  1. 本地服务器模块模式
  2. 反向代理模式(在反向代理上切入WAF)
  3. 硬件防护(在硬件中嵌入)

大型网络复杂情况下WAF的选择:

多种方案并存, 用WAF集群来专门处理

服务器Agent + WAF集群:
  • DDOS设备
  • CDN
  • Nginx反向代理
  • 通用性webserver
  • 自研webserver

技术点:

1. Nginx agent的实现(数据分发)

Nginx以性能著称

需要对Nginx的处理流程&通讯机制进行介入。

通过Nginx一些api的方式进行网络通信监控。

WAF回来以后做网络通信: 通过Nginx1.4.4+的对外接口来获得回调。

2. 性能

3. 负载均衡、容灾、防雪崩、流量穿透

WAF运营

1. 业务web服务器配置

2. 规则管理

公司类、WAF、旁路分发。
编辑环境、测试环境、线上运营

3. 大数据分析

解决: 误报、漏报


Jacksgong wechat
欢迎关注Jacks Blog公众号,第一时间接收原创技术沉淀干货。