腾讯web安全的建设

张海清

• 安全相关的后台架构 • ⼯工作项⽬目：Url云安全、WAF、扫描器

• 开源项⽬目：nginx、webkit、gearman、redis

张海清 腾讯安全架构师

⽬目录

web安全

扫描器&WAF

1

2

web安全

开发

安全规范安全培训

安全API安全JS

接⼊入WAF上线前安全扫描

上线

接⼊入WAF周期性安全扫描

事故

以奖为主

以惩为辅

测试

web安全——扫描器功能

1. SQL注⼊入、XSS……

2. 指纹识别 3. FLASH 4. 端⼜⼝口扫描

5. web2.0爬⾍虫功能

web安全——扫描器特性

特性

4、爬⾍虫webkit后台server，与调度系统结合

1、扫描程序架构全异步事件驱动+协程

3、任务调度系统Gearman: 任务优先级、多任务类型、任务出错重试、超时

2、规则检测逻辑、配置：lua；实时更新

WEB安全——业界WAF⽅方案

1. 本机服务器模块模式

2. 反向代理模式

3. 硬件防护设备

WEB安全——我们的挑战

数万台WEB服务器

峰值30Gbps流量

数⼗〸十种WEB SERVER

复杂的⽹网络环境

选择哪种WAF⽅方案？

并发性能⽆无影响

web安全——多种WAF⽅方案并存

DDOS设备

CDN

NGINX反向代理

通⽤用性webserv

er

⾃自研webserv

er

服务器Agent+WAF集群

web安全——WAF架构��

WAF��

���webserverDDOS

CDN

NGINX ���

Agent Agent Agent

���server��

���� ������

������

技术点：nginx agent的实现(数据分发)

技术点：WAF兼顾性能与对抗灵活性

技术点：负载均衡、容灾、防雪崩、流量穿透问题

web安全——WAF运营

1. 业务web服务器配置

2. WAF规则管理

3. ⼤大数据分析——误报分析

4. ⼤大数据分析——可疑分析

thank you！