安全宝-石祖文 WAF在云安全中的应用研究.docx

Def2013

第二届

全国网络与信息安全防护峰会

对话·交流·合作

Def2013

WAF在云安全中的应用研究

石祖文(Safe3)safe3q@

创新工场-安全宝

对话·交流·合作

Def2013

纲要

·背景介绍

·云WAF架构设计·云WAF安全研究·Web攻击案例

·QA

对话·交流·合作

Dei2013

1.背景介绍

对话·交流·合作

1.1关于安全宝

安全宝是创新工场唯一安全领域的投资项目，它是星云融创(北京)科技有限公司旗下产品，为“国内第一家采用零部署的云计算技术一站式解决各种安全问题的高科技企业。”

用户

有哪些信誉好的足球投注网站引擎

黑客

DDoS、CC

对话·交流·合作

Def2013

1.2大数据时代

·每天处理上亿PV

·每天过滤TB级访问流量

10101

CodeMobileCloudComputingDatalasePC·每天拦截几十万攻击请求·每天分析上万种应用类型·每天遭遇几十种Oday攻击·

Code

Mobile

CloudComputing

Datalase

PC

Kitchen

Sink·DDOS攻击最高峰值流量达70G

Sink

云计算示意图

对话·交流·合作

1.32012年漏洞统计

2012年主要攻击方式所占比例分布■SQL

2012年主要攻击方式所占比例分布

■SQL注入■任意文件读取■其他攻击

■跨站脚本攻击■fastcgi解析■ⅡIS6.0解析漏洞

4.5%_2.2%_0.4%

编号

漏洞名称

总攻击数比例

涉及网站数比例

攻击者IP数比例

1

淘宝客7.4huangou.php注入漏洞

17.71%

3.78%

11.289%

2

dedecmssearch.php文件注入

15.109%

51.849%

2.55%

3

dedecmsajax_membergroup注入

9.68%

26.079%

11.37%

4

shopxpTEXTBOX2.ASP注入

9.26%

3.38%

11.239%

5

aspcms后台关于编辑注入

9.09%

2.99%

11.199%

6

Dircms文件读取漏洞

8.92%

2.799%

10.91%

7

科讯cms有哪些信誉好的足球投注网站注入

8.42%

3.289%

11.41%

8

HDwiki摘要注入

8.19%

2.29%

10.829%

9

无忧文章管理系统5ucms注入漏洞

8.11%

2.599%

10.699%

10

wordpressThumb远程文件下载

5.51%

1.00%

8.55%

对话·交流·合作

pef2013

2.云WAF架构

对话·交流·合作

2.1基础构件

1.深度定制化nginx(目前公认的高并发低RAM占用WebServer)

2.高效luajit处理逻辑(CPU密集型执行效率接近C++,语法简单)

3.大数据分析hadoop(大数据分析首选)

NGiMX

对话·交流·合作

Def2013

2.2云WAF架构图

全国调度中心

抗D中心

北京节点

E0o

交换机

日志分析中心

TMNGiMX

TM

对话·交流·合作

2.3使用nginx碰到的问题

1.reload加载2万个server配置耗时一分多钟

2.加载2万个server配置占用内存高达2G,如果8核绑定8个

进制则占用系统16G内存

3.只有针对单个url清理缓存的接口，无法支持整站缓存清

理

4.天生不是为加载大量配置而设计，部分结构查找配置效率

低下

对话·交流·合作

Def2013

2.4如何解决这些问题

2.4.1nginx配置动态化

(1)nginx变量机制

#defineNGX

#defineNGX_HTTP_VAR_CHANGEABLE

#defineNGX_HTTP_VAR_NOCACHEABLE

#defineNGX_HTTP_VAR_INDEXED

1

2

4

8

structngx_http_variable_s{

ngx_str_t

ngx_http_set_variable_pt

ngx_http_get_variable_pt

;;stbefirsttobuildthehash*/

;;

index;

ngx_http_variable_t*ngx_http_add_variable(ngx_conf_t*cf,ngx_str_t*name,

ngx_uint_tflags);

ngx_http_variable_value_t*ngx_