腾讯web安全的建设
张海清
• 安全相关的后台架构 • ⼯工作项⽬目:Url云安全、WAF、扫描器
• 开源项⽬目:nginx、webkit、gearman、redis
张海清 腾讯安全架构师
⽬目录
web安全
扫描器&WAF
1
2
web安全
开发
安全规范安全培训
安全API安全JS
接⼊入WAF上线前安全扫描
上线
接⼊入WAF周期性安全扫描
事故
以奖为主
以惩为辅
测试
web安全——扫描器功能
1. SQL注⼊入、XSS……
2. 指纹识别 3. FLASH 4. 端⼜⼝口扫描
5. web2.0爬⾍虫功能
web安全——扫描器特性
特性
4、爬⾍虫webkit后台server,与调度系统结合
1、扫描程序架构全异步事件驱动+协程
3、任务调度系统Gearman: 任务优先级、多任务类型、任务出错重试、超时
2、规则检测逻辑、配置:lua;实时更新
WEB安全——业界WAF⽅方案
1. 本机服务器模块模式
2. 反向代理模式
3. 硬件防护设备
WEB安全——我们的挑战
数万台WEB服务器
峰值30Gbps流量
数⼗〸十种WEB SERVER
复杂的⽹网络环境
选择哪种WAF⽅方案?
并发性能⽆无影响
web安全——多种WAF⽅方案并存
DDOS设备
CDN
NGINX反向代理
通⽤用性webserv
er
⾃自研webserv
er
服务器Agent+WAF集群
web安全——WAF架构��
WAF��
���webserverDDOS
CDN
NGINX ���
Agent Agent Agent
���server��
���� ������
������
技术点:nginx agent的实现(数据分发)
技术点:WAF兼顾性能与对抗灵活性
技术点:负载均衡、容灾、防雪崩、流量穿透问题
web安全——WAF运营
1. 业务web服务器配置
2. WAF规则管理
3. ⼤大数据分析——误报分析
4. ⼤大数据分析——可疑分析
thank you!