从业务安全需求的角度来看，大流量网站架构下Web应用安全防护方案需要是体系化的、满足 多重需求的、简单易用的。常规的网站应用安全防护方案是使用Web应用防火墙（简称WAF）设备，通过将设备串接到网站系统入口的网络链路中，识别流量中HTTP数据包并过滤攻击请求，但是这种方法存在“旧与新”的冲突。例如：硬件WAF在新型的大流量网站中表现受限，由于单台物 理机器的性能瓶颈造成部署难度大且不易实现水平扩展等问题。网络安全产品是为了维护网站安全 而存在的，而使用传统架构的安全产品去适配新型网站架构时，削足适履的防护方案往往以性能的 牺牲为安全的代价。 传统WAF解决方案在应对大流量网站架构时，大多存在着以下常见弊端：

网络物理链路较多，WAF接入时使用串接模式所需要的设备台数较多，需要巨大的建设成本。

大流量网站的网络拓扑相比普通网站更加复杂，网络一旦发生变更，需要较长的时间才能实现WAF的部署、升的架构要求级、扩容。

网络拓扑更加复杂，需要修改的设备较多、业务接入WAF周期无法预估。

超大流量意味着企业对于误报的敏感度更高，一类请求的误 报可能会导致“大量客户”无法正常使用业务功能，放大了 误报带来的损失。

大流量网站架构企业的业务场景和内部网络拓扑往往存在着 巨大差异，业务安全问题更加场景化，传统WAF产品因为技 术原理的局限性，无法满足要求。

传统WAF方案在新型的大流量网站中表现受限，不能实现统 一管理和监控。

长亭科技雷池（SafeLine）下一代Web应用防火墙以其在各个行业的实践经验为基础，深度 调研企业的使用场景，形成了一套针对大流量网站架构的Web应用安全防护方案，能够满足架构要 求，同时实现应用安全和业务安全防护。雷池（SafeLine）在服务众多客户后发现，一款适配大流 量网站架构的Web应用安全防护方案应注重以下条件：

拦截模块阻塞用户的原始HTTP请求，转发至检测模块，最终放行合法 的用户请求；同时拦截模块也可以作为Nginx的模块，集成到现有的 Nginx集群中，允许用户不改变网络拓扑，即可实现WAF功能。

雷池（SafeLine）所有的检测工作都在检测模块进行，检测模块收到 HTTP请求，然后运行检测引擎。

检测完成后，检测模块将检测日志、原始数据和用户指定的日志发至分 析模块，分析模块可以实现更高等级的分析逻辑。雷池（SafeLine）内 置数十种分析功能，可以提供数据分析能力。

企业根据实际性能需求部署反向代理集群，可通过修改负载均衡转发规则，引流至集群。以该模式运行时，雷池（SafeLine）会作为反向代理向后转发收到的HTTP请求，并同时对经过的 HTTP请求做攻击检测。若存在Web攻击则会记录相关攻击日志，系统根据相关配置对该请求作出 指定行为（是否阻断）。

以该模式运行时，雷池（SafeLine）将拦截嵌入式集群部署至现有的Nginx集群，可以在不改变现有网络拓扑的情况下完成流量检测工作。

安全运维人员在日常工作中时常受到误报带来的困扰，大流量企业更为敏感。超大流量意味着 如果WAF误拦截了一类请求，就会有大量客户不能正常使用网站，造成的损失可见一斑。与此同时 当面临0day漏洞攻击时，安全人员为保证业务稳定，往往无法第一时间对受影响的软件进行升级， 寄希望于WAF能够第一时间实现防护。传统安全厂商虽然会及时提供规则库升级服务，但新规则灰 度测试周期长，对正常业务的影响程度很难评估，延缓了防护的速度，使得安全人员再次面临安全 和业务两难抉择的问题。 雷池（SafeLine）采用智能语义分析技术，具有准确率高、误报率低的特点，能够基于上下文 逻辑实现攻击检测，将攻击拦截性能提升至全球领先水平，同时管理者无需维护庞杂的规则库，有 效提高了Web防护工作效率。以多种基于上下文无关文法的攻击为例。正则表达式表达能力仅限于正则文法，对多种基于上下文无关文法的攻击检测能力先天不足，如下图所示，当正常请求命中规则时，就会被误拦截，形成误报。

雷池（SafeLine）通过对下推自动机在攻击检测问题上进行巧妙的设计，在线性时间复杂度内，完成了多种基于上下文无关文法的请求Payload的分析，包括各种SQL的不同数据库实现、 JavaScript、PHP、Java 和OGNL表达式等，并且考虑到注入的特性，检测过程还实现了对语法中 间片段的分析能力，除此之外，再结合深度解码和为各种不同攻击类型实现的综合打分模型便可完 成最终的判定。

解决业务安全需要考虑解决两个问题：第一是分析，即判断谁是“坏人”，第二是执行，即拦 截“坏人”的后续操作。只有两个步骤配合执行，才能解决业务场景中的实际问题。 WAF是位于网络边界的安全产品，位置的特性使其能够接收到更贴近业务场景的流量内容，从 而理解分析业务，结合WAF检测拦截攻击的本身功能，能够实现业务安全的防护。同时，大多数企 业已经有风控平台，WAF作为边界设备充当“执行的角色”，如具备联动的功能，风控平台可以给 WAF下指令，拦截某个IP或用户。 雷池（SafeLine）作为新型WAF产品代表，在设计之初就充分考虑到了业务安全问题，提供开放的插件平台，在获取到完整的HTTP/HTTPS的请求后，定制化分析场景流量，让更加理解业 务的企业安全人员，根据自身业务逻辑来完成相关插件的流量分析逻辑，解决具体的业务场景安全 问题。流量分析引擎提供更人性化符合逻辑的插件编写方式——SafeLine QL， 将复杂的实现逻辑 以语义化、逻辑化的语言进行查询和统计，满足实时流量统计分析需求，得到查询和统计结果，亮点功能在于可以根据这些贴合实际业务安全场景的流量分析结果以编程化的方式处理流量。

雷池（SafeLine）提供基于REST-ful的具备全功能开放接口（Open API），所有页面功能 均可通过API实现调用，能快速融入用户安全体系。安全管理者可通过SoC或SIEM平台调取雷池 （SafeLine）检测日志、下发安全策略等，构建多平台、多设备的安全联动，提高安全管理效率。

因为大流量网站架构的复杂性，WAF运维成本是大流量企业的必要关注点。大流量网站架构往 往十分复杂：网站如何接入新的防护站点？集群如何快速扩容？节点如何统一管理？网络如何顺利 进行变更？这些问题是企业在安全运维过程中必须考虑到的，而常规的WAF方案在部署、扩容时都 会影响网络拓扑，如果不能保证高可用或全面的监控机制，还会带来额外的安全风险。 雷池（SafeLine）软件集群架构支持中心统一管理，提供多种监控方式，集群能根据业务实际 性能负载进行扩容，升级、扩容都不会对网络拓扑造成较大改动，并且支持在线水平扩容，在业务 高峰期随时扩容保证业务可用性。

1.集群部署方案特性解决了平台高峰期延迟问题，实际使用过程中检测仪耗时：99%的请求 在1ms以内。

2.雷池（SafeLine）采用智能语义分析引擎，在实际的工作中极大的减少了漏报误报现象， 减轻了安全部门工作压力。

3.雷池（SafeLine）提供Open API，通过与黑产数据和风险IP联动，使得安全人员能够针对 相关接口开启访问控制规则，封禁超频访问的“羊毛党”，在活动期间有效减少了“薅羊毛”现 象，最大程度保障目标用户权益。