随着互联网技术的飞速发展,Web和数据库结合的B/S(Browser-Server)架构在各行业的企业系统中发挥着越来越重要的作用,这种模式将系统功能实现的核心部分集中到服务器上,客户端无需安装专用软件,通过浏览器即可与Web 服务器、数据库服务器进行交互,有效降低了系统维护与升级的成本和工作量,但与此同时,也为黑客创造了新的潜在入口点。
当前,Web应用程序漏洞的数量当前已高达数万个,并且每年都在增加。据不完全数据统计显示,2022年全国范围内大中型政企的网络安全应急事件超1000起,很多政企机构在网络安全基础设施建设、网络安全运营等方面能力不足,使得数据破坏、用户信息泄露、生产效率降低等事件层出不穷,严重影响应用的可用性及安全性,甚至可能造成系统大面积阻塞以及瘫痪。
Web 应用程序防火墙 (以下简称:WAF) 是网络安全防御的重要手段之一,能够帮助用户创建和管理规则,并执行一系列针对HTTP/HTTPS的安全策略,防御恶意攻击和非授权流量,从而保护Web 应用免遭漏洞威胁。
江苏通付盾科技有限公司自主研发的新一代动态Web应用防火墙产品——动态WAF应用,可搭载通付盾动态防护、爬虫防护和智能决策三大引擎,整合站点加固、人机识别、风险过滤、自动化攻击拦截等技术,对所有访问的流量进行安全检测、过滤和智能阻断,同时支持API接口防护功能,识别各种针对API的非法行为和安全攻击,并进行有效的实时防护。
最终保障业务免受恶意攻击引发的数据泄露、业务欺诈、资源高负载等安全问题,为企业业务安全提升综合防护能力,确保业务能够高效、安全、可靠的运营。
伴随互联网应用的不断发展,https访问请求与日俱增,网站包含了越来越多的业务数据,网站的并发访问性能亟需提升,此外,近年来国家陆续出台安全相关的法规政策及技术标准等都对动态WAF产品的底层基础设施提出了更高的要求:
大体量
主源服务器高峰期时访问流量日均可达百万级,为实现有效的访问控制亟需更高性能的平台满足可用性;
高安全
为了保障业务数据受到恶意攻击,通付盾动态WAF需要满足数据资产安全、业务安全、站点安全,以实现对业务的全方位防护;
高智能
面对自动化攻击场景,通付盾WAF不能只依赖传统静态/被动防御,需要更加智能化的决策引擎精准发现并阻断攻击行为。
鲲鹏平台天生的多核高并发能力,能够很好的满足WAF对高算力的要求,此外,鲲鹏开发套件DevKit提供面向全研发作业流程的工具链,能够帮助用户快速完成应用的迁移、开发、编译和调优。基于此,通付盾与江苏鲲鹏·昇腾生态创新中心技术团队达成了深度合作,基于鲲鹏平台共同打造动态WAF应用,以数据安全流通为关键驱动要素,为政府、企业用户提供自主安全的数据底座。
【通付盾动态WAF应用架构全栈图】
迁移:基于鲲鹏DevKit 1人天/应用快速迁移动态WAF应用平台
面对鲲鹏新的指令集架构硬件平台,技术人员需要由源码开始构建运行环境,手动编译该版本相关组件速度慢效率低,工作量和技术难度较大。通过鲲鹏DevKit 代码迁移工具Porting Advisor共识别出依赖文件11个,可兼容JAR包1个,去重待验证JAR包10个,去重待验证so文件8个,其中兼容JAR包可直接下载替换。原计划一周的迁移工作,在工具帮助下,平均1人天完成了单应用的迁移,大大提高了迁移效率。
开发&调优:基于鲲鹏DevKit高效开发TOP 10安全事件查询分析功能,产品性能提升超20%
在迁移完成之后,针对动态WAF应用的安全事件查询场景,通付盾计划在鲲鹏平台上开发TOP 10安全事件查询分析功能,该功能能够快速查询和分析TOP10的应急漏洞信息、网站流量分析数据、网站威胁事件等,以便相关人员及时响应并开展安全运维工作,因此该功能对性能的要求比较高。
在开发过程中,为了提升编译效率,技术人员将openJDK替换成毕昇JDK。毕昇JDK积累了大量华为内部使用场景和实际问题解决经验,并针对鲲鹏平台和大数据等场景进行了优化,在鲲鹏架构中为动态WAF应用提供了更好的性能。
在编译完成之后,为了进一步提升软件运行性能,开发人员通过鲲鹏DevKit性能分析工具进行了深度优化:通过Java性能分析对应用程序进行在线分析,发现内存逃逸、锁消耗过高以及栈扩容频繁等问题,导致资源消耗过高,复杂查询下页面响应有延迟。在工具的建议下,技术人员进行了原子操作代替互斥锁、针对读操作的优化消除了rwlock以及引入协程池等程序优化操作,消除了复杂查询下资源消耗过高等瓶颈,优化数据库查询,解决了页面响应不及时的问题。
通过上述优化,统计分析TOP 10、安全事件详情等处理效率得到大幅提升。
统计分析Top10的响应耗时由3.6ms缩短到2.8ms,性能提升22.22%;
安全事件查询的效率由2200条/秒提升至3200条/秒,性能提升45.5%。
此外,通付盾动态WAF应用的传统规则防护,反爬虫防护,动态防护,智能决策等业务的综合性能都得到明显提升,同时增强了安全防御能力,降低了服务器的负载,进一步优化了用户的访问速度与体验。
【统计分析Top10和安全事件查询场景响应时间性能调优前后对比】
目前通付盾公司动态WAF已在政府、能源、金融、运营商、教育等行业客户中广泛应用,该方案也荣获“2022数字金融创新大赛”银奖,这不仅验证了该平台的高性能、高兼容性、完整性和成熟度等技术优势,也标志着江苏通付盾科技有限公司在鲲鹏计算应用创新、产业融合、市场应用方面达到领先水平。
作为鲲鹏计算产业生态的重要合作伙伴,通付盾公司已与江苏鲲鹏·昇腾生态创新中心建立长期合作关系。未来,通付盾将基于鲲鹏、欧拉等国内主流产业生态平台,打造更多数字化行业应用安全解决方案,为行业持续提供自主创新的新一代边界安全、身份安全、数据安全及应用安全解决方案。
鲲鹏原生开发是指使用鲲鹏DevKit的原生开发能力,如鲲鹏开发框架(含场景化SDK)、编译调试工具、云测服务、调优&诊断工具等,在鲲鹏平台上开发新软件/新功能,充分发挥鲲鹏架构优势,从而获得开发效率/运行性能提升。鲲鹏DevKit将持续增强开发体验、优化工具能力,提升鲲鹏开发效率,助力千行百业数字化转型。
江苏通付盾科技有限公司
江苏通付盾科技有限公司(以下简称:通付盾)创立于2011年,是一家以分布式数字身份和大数据决策智能技术为核心的新一代数字化基础设施服务商,为政府、能源、金融、运营商、互联网等行业用户提供基于无边界、零信任、自适应的“云、端、信”一体化数字技术产品与服务。