设备负载100%,
谁家的WAF还在工作?
某用户连续6个小时
每秒查询次数超 500万次
应用层吞吐量超过50G
长时间遭受超高并发访问
长亭雷池(SafeLine)
0故障率稳定运行
信息爆炸的时代
“极端”场景逐步变成“常规”
这一次我们选取了
超大并发、极端变化、突发中断
三个极端场景
一起围观WAF的天选打工人表现
No.0001
并发访问量数百万
死磕精准检测
【障碍描述】
“今年双11,我们业务流量应用层吞吐达到30G,访问峰值更是达到了前所未有的350万QPS,WAF直接挂了,有几条业务都访问不到了,最后只能手动切换链路。”
【普通打工人表现】
对于日常业务流量大的企业来说,超大并发并不罕见,其特点是流量有明显的业务峰值,服务器长时间处于较满状态。
普通体量的企业,在特殊活动时期也很容易产生超常流量,这是因为同一时间段大量用户涌入访问,会造成突发性流量峰值。
无论哪种情况,高达百万的QPS都会给WAF造成较大压力,极端情况下bypass都不一定能做到,普通打工人WAF经常会直接躺平(挂掉),影响用户使用。
【顽强打工人表现】
启用高性能WAF模式,缩短检测时间,提高承载能力。
雷池(SafeLine)采用智能语义分析算法,基于业务Payload的编码进行分析和检测,不同于传统的规则匹配,无需将所有的流量信息与规则库逐一匹配,在固定资源条件下,时间复杂度更低,处理能力更强,可更快完成检测。同时基于容器的底层架构,让雷池(SafeLine)检测、转发、日志等节点都可以随业务同步扩缩容,理论上可以支撑无上限的流量。
雷池(SafeLine)历经实战,成功落地过100个检测节点集群,超出流量上限后,触发必bypass机制保障业务的高可用。
No.0002
流量瞬间增加100倍
轻松弹性超强表现
【障碍描述】
“业务部门上个月突然上了一条业务线,流量立马加了10个G,把WAF资源都打满,WAF直接躺平了,有些业务没了防护都被攻击了。第二天我加了些WAF物理资源,但是新业务又下了,全浪费了,还被批了一顿。”
【普通打工人表现】
流量在短时间内激增或锐减,通常是因为:新业务突然上线或者下线、某一时间段业务量突然集中爆发、突然遭受攻击等。
这些情况的特点是业务突然变化,持续时间也不可预测,安全部门无法提前储备资源,普通打工人WAF不能快速随业务扩缩容,就会出现检测能力不足或者资源浪费。
【抗压打工人表现】
使用更弹性灵活的WAF,随时扩缩容。
面对突发激增流量,雷池(SafeLine)可通过自研FVM,在理想状态下可以先对流量分类,不同的流量采用不同的检测方式,不需要每条流量都经过所有的检测模块,并可以提前设置检测策略,缩短检测过程,让流量快速通过,不影响业务。
雷池(SafeLine)基于K8s的弹性扩缩容,将检测和转发服务抽离,在云环境中定时检测Pod计算资源状态,依托K8s组件对资源的监测和计算,自动检测节点的增加与减少,根据业务需求实现自动扩缩容。
No.0003
突然断电或设备故障
只有死路一条吗?
【障碍描述】
“前两天,第三方人员操作失误,把我们电闸拉了!电路刚好是WAF的机柜,我们业务就中断了。”
“不止是你,有一天业务把WAF占满了,WAF也是直接挂了!”
【普通打工人表现】
WAF的突发性故障一般分为两种情况,一种是电力、机房等物理环境的突发性变化;一种是业务的极端变化,这些都会造成WAF突然“失灵”,如果缺少完备的可用性机制,业务检测就会受到影响。
【九命猫打工人表现】
使用稳定性更强的WAF,具备完善的熔断机制。
雷池(SafeLine)具备丰富的bypass触发条件以及细粒度的服务降级处理机制:
硬件 bypass:流量不检测,不经过操作系统,以经过“网线”的方式经过设备, 完全由网卡处理, 不消耗 CPU 资源。
软件bypass:删除工作组所有站点的应用层代理配置和网桥中的规则, 流量不会劫持到应用层处理。其中三级熔断形式包括攻击检测熔断、连接追踪熔断、数据包处理熔断,控制请求检测或不追踪新的TCP连接,标准判定为流量超时和丢包率,通过降级检测和转发服务的方式熔断,保障业务可用性。
软件集群服务降级机制:在特殊极端情况,用户流量产生异常的高额带宽和资源占用,雷池(SafeLine)可以通过软件服务降级机制,逐步停止其他服务,保障转发服务。
至此,卷王WAF已经诞生
在业务快速变化的时代
应对极端情况,匹配业务需求
雷池(SafeLine)
您在21世纪抵抗流量洪峰的不二之选!
了解更多雷池(SafeLine)超能力
欢迎扫描二维码申请试用