Volterra 如何確保出海Web 應用安全性和性能

來源：F5

作者：F5

時間：2021-09-28

隨著云端工作負載（公有云、私有云或混合云）的增加和微服務的興起，需要正確訪問和保護的出海應用也越來越多。

概述

隨著云端工作負載（公有云、私有云或混合云）的增加和微服務的興起，需要正確訪問和保護的出海應用也越來越多。Volterra 全球應用交付網絡 (ADN) 與 VoltMesh 服務可提供 7 層 DDoS、WAF 和 API 安全以及全球分布式負載均衡，因此無需在各個位置部署獨立服務和堆疊設備（DDoS/WAF/負載均衡器或 ADC）。

三層防護：ADC + WAF + DDOS 防護

ADC（應用交付控制器）

應用交付控制器 (ADC) 是一個網絡組件，可優(yōu)化并保護最終用戶與海外互聯(lián)網上發(fā)布的 Web 服務/應用之間的訪問。ADC 兼具負載均衡、反向代理及 TLS 終止特性。

負載均衡

負載均衡能夠在屬于平臺的所有源服務器之間分配請求，可在訪客/負載量增加的情況下確保服務可用性。

未部署負載均衡器：

1. 用戶直接訪問內容（本例中為 Web 服務器）。

2. 如果這臺 Web 服務器發(fā)生故障，則將完全無法訪問服務。

負載均衡還支持：

高可用特性：如果其中一臺源服務器發(fā)生故障，負載均衡器（借助運行狀況檢查）將不會向其發(fā)送任何請求

從負載均衡中逐一排除源服務器，以便在不中斷服務的情況下執(zhí)行維護。

反向代理

反向代理特性可優(yōu)化源服務器的利用率：出?？蛻舳送ㄟ^大量連接訪問反向代理，然后反向代理使用其自身與源服務器之間建立的連接池將這些連接發(fā)送到源服務器。這將支持源服務器處理更多請求，并為所交付的服務提供更出色的用戶體驗。

TLS 終止

TLS 操作極其占用 CPU，尤其是“TLS 握手”。通過使用上述反向代理機制并為 TLS 會話添加高速緩存容量，在 Volterra ADC 級別終止客戶端的 TLS 連接可優(yōu)化服務器資源的消耗。這有助于降低源服務器的負載，因為它們只需管理與 Volterra ADC（而非大量客戶端）的 TLS 協(xié)商。

Web 應用防火墻 (WAF)

為了應對 7 層高級應用攻擊，Volterra ADC 提供了一個 WAF 模塊來快速阻止復雜攻擊，并獲得對攻擊者所用 Bot 和 TLS 指紋的可視化。速率限制功能將自動攔截來自超過定義閾值（每秒請求數(shù)）的 IP 地址的請求。IP 攔截特性可全面攔截特定 IP 地址或整個應用服務。

出海企業(yè)的應用安全問題非常復雜，需要使用多層方案來解決。目前妥善保護應用需要采用多種技術，為此，Volterra ADN 提供了一套全面的集成工具。這套工具結合使用了基于簽名的傳統(tǒng)技術、統(tǒng)計算法及動態(tài)機器學習方法，在系統(tǒng)中表現(xiàn)為以下三項功能：

1. 基于規(guī)則的 WAF

結合使用 OWASP 核心規(guī)則集 (CRS) 和 Volterra 規(guī)則集 (VRS)。

防御針對 HTTP 流量的一系列攻擊，并監(jiān)控和記錄每個事件。

可用于告警和攔截模式。

2. 行為分析

該系統(tǒng)執(zhí)行機器學習，依據服務網格中的監(jiān)控系統(tǒng)收集的日志和指標,來了解客戶端和服務器的行為。當檢測到異常行為時，它將快速生成告警。

2. 應用 DoS 防護

綜合使用基于規(guī)則的 WAF、行為分析及網絡防火墻部分的快速訪問控制列表(ACL)來抵御攻擊。

DDoS 防護

無論是出于商業(yè)原因還是勒索目的，分布式拒絕服務 (DDoS) 攻擊的目的是擊潰服務或網站。Volterra ADC 可充分利用我們的骨干網，并具有 TB 級DDoS 防護功能。Volterra 運行著自己的骨干網，支持我們對其進行端到端控制，并提出安全和優(yōu)化建議。

當攻擊者瞄準一項服務時，攻擊活動將耗盡該服務資源，使其變得不可用。用戶將無法再訪問該服務。

Volterra 的 DDoS 防護解決方案能夠阻止攻擊，同時支持合法用戶持續(xù)訪問服務。

Volterra ADN 上運行的 Volterra ADC 的 IP 地址通過 Anycast 在互聯(lián)網上公布。客戶端最終將在離其最近的 Volterra 接入點 (PoP) 上使用 ADC。這有助于提升海外用戶的應用體驗。此外，攻擊在邊緣節(jié)點(PoP) 級別即被隔離，既不會蔓延至整個網絡，也不會影響整體服務或應用可用性。