来源：逸语道破   沈逸：复旦大学国际政治系副教授

1914年，萨拉热窝响起了不那么突兀的枪声，塞尔维亚的青年干掉了奥匈帝国的皇储费迪南大公。葬礼前后，大公沾亲带故的亲戚们颇是洒落了一些情分，甚至是泪水，但很快，或许泪水还未干透，战争，迅速从欧洲大陆地平线上的一道可怖的阴影，转变成了现实；战争，当时高贵优雅的贵族-精英决策者们始料未及的战争，在远比六个月更加漫长的时间里，大口大口的吞噬者当时欧洲青年一代的血肉；战争，其结果，远远出乎各方的意料，欧洲，自地理大发现以来事实支配着整个世界的欧洲，因为战争，不可阻挡的衰落了下去，曾经带来一百年和平的五强多极均势格局，在战争之后，变成了教科书中无法再现的绝响。

2014年，100年后，或许是某种巧合，中央情报局的前雇员送来了名为“棱镜”的监控系统1年之后，迎来了第一次世界大战的100年。虽然还不知道棱镜系统的具体工作机理，但光学试验中，一束白光通过棱镜之后，会被分解成为七彩斑斓的不同颜色。或许，历史老人以这种方式提醒人们，对于100年前的一次大战，也应该用有分光能力的棱镜，来仔细看看，以看出些与100年前，100年间，不同的新东西来。

2014年初，汹涌而来的，是美国学者杰维斯所说的“从历史经验中学习”，其基本的或者说被下意识使用的研究方法，是基于表面相似性的简单历史类比：2014年的中美关系，被看成是1914年的德英关系。如何避免崛起国家对霸权国家宿命般的冲撞，克服无法改变的大国政治悲剧，成为类似金融时报这种保守严肃媒体的主要视角。当然，这是有道理的，因为根据自1648年以来西方国家事实上设计并主导的国际体系基本游戏规则，这是唯一可能的结果，也是内嵌规律的必然：所有国家都被假定为是自我中心主义的，一个国家的理性被界定为使用一切可能的方式，包括使用武力，来趋利避害，只要代价和收益符合“两害相权取其轻”的基本公式，所有国家对收益和代价的认知与理解被假定为是相同或者趋同的。于是，就产生了具有某种古典悲剧美感的自我实现的预言：崛起国对霸权国的挑战是不可避免的。

如果这个预言真是不可避免的，那比上一个具有类似结局，2012年玛雅预言世界末日的，更具威胁：1914年，相互掐的不可开交的各方，能够拿得出手的大杀器，也就是以氯气、光气、芥子气一类为代表的化学武器，弄块大铁皮裹上几个轮子装门炮搞出来的坦克原型，基本上已经可以收获猪鼻子插葱装象的惊艳效果了；2014年，双方如果相互掐起来，那就是妥妥的日本老动画片《北斗神拳》的开篇：XXXX年，蘑菇云升腾，把整个世界，打回到石器时代去。

撇开这种很有视觉冲击效果的悲剧想象，停止可以作为红色警戒X代剧本的策划，认真看看100年后的世界，2014年的世界，至少已经为避免100年前那场致命的冲突，提供了三道以上的保险：

首先，核武器的存在，决定性的迫使崛起国家，与霸权国家，建立了对全面冲突后果的基本共识。1914年战争的爆发，重要原因是，双方共同认为，新兴军事革命，有利于进攻，不利于防守；在新兴军事革命中，本方占据了优势；因此，可以在较短时期内通过战争来解决政治问题，也就是克劳塞维茨所说的：战争，是政治以另一种方式继续；战争，是流血的政治。2014年，核武器不仅存在，而且作为主要新兴国家的中国，与现存霸主的美国，都掌握了核武器，都掌握了具有一定二次打击能力的核武器；考虑到核武器使用带来的巨大毁伤效果，在技术上防御战略核武器打击的难度，以及一场全面核交换可能带来的后果，可以认为，这种战争，不再是政治的继续，而是政治的终结。这确实在一定程度上，构成了战略稳定的基石。

其次，远比1914年复杂的全球产业链和全球价值链的存在，决定性的改变了不同国家间利益分配和共享的方式，也在相当程度上改变了战争是否有利可图这个问题的答案。各种类型的现实主义者，对简单的经济相互依存促进和平的论调，是很不以为然的，他们会拿出详实的统计数据，告诉你，1991年前后，主要欧美国家间货物贸易的比重，恢复到了1914年前；但没有告诉你的是，除了货物贸易之外，今日世界，还有一张发达的金融网络，以及遍布世界不同国家的产业链和价值链。其中的区别在于：1914年，虽然货物贸易发达，但其背后的生产制造，以及更加重要的利益分配，是排他性的；2014年，全球范围的利益分配，是非排他性的。有兴趣的，去网络搜索以苹果Iphone手机为例的全球产业链和价值分配。在这种分配机制中，战争，在分配机制中处于互补性关键节点位置的大国之间的战争，除了摧毁利润生产机制的效果之外，几乎没有其他可见的收益。

第三，比1914年前类似欧洲协调机制更加复杂和发达的国际机制，提供了一个暂时还令人满意的平台，来解决不同国家行为体之间的纷争。联合国为代表的普遍性国际多边组织，尽管还远谈不上提供真正符合多数国家理想中的公正的国际秩序，但至少在使用武力争端的问题上，比较成功的促进了各国之间认知的改进。除了安理会常任理事国里面少数乃至个别国家，比如美国，还有足够的实力或者说能努力，在某些情况下直接绕开联合国对某些效果使用武力，多数情况下，安理会对合法使用武力地位的垄断，基本没有遭遇太多的挑战。这种机制带来的贡献，从积极和乐观的视角出发，可以理解为和平解决争端观念的“外溢”效果，即越来越多的国家，开始接受并最终在一段时间之后将这个/这种观念内化为自己的行为准则。从全球范围来看，这毫无疑问是有积极意义的，当然，这种积极意义所产生的效果，是否是不可逆转的？恐怕还有待时间的检验和考验。

当然，并不完全都是好消息，2014年也有比1914年更糟糕的坏消息：不是权力转移的问题，而是预防性战争（Preventive War）或者预防性行动的问题。西方国家在论述2014年世界局势面临的挑战时，通常使用的分析框架，是“权力转移”：新兴国家的兴起，权力从传统霸权国家转移到新兴国家，新兴国家使用权力挑战霸权国家。这是一种比较典型的“归因”分析，其基本特点是一般都站在霸权国家立场上，对外归因，将导致体系不稳定的原因推到作为挑战者的新兴国家。作为既得利益的霸权国家倡导的理论，这种归因方式是无可厚非的。但必须记住，尊从同样的对外归因逻辑，新兴国家可以将导致体系不稳定的原因归结为力量已经相对衰落的霸权国家：他们拒绝承认新兴国家各种合理的利益诉求，拒绝对已经不适应新兴国家兴起后力量对比的制度安全安排主动做出调整。2014年，这种拒绝做出调整的典型代表性案例之一，就是美国以国内政治程序来拒绝履行调整世界银行股权份额的承诺。吉尔平等美国学者其实指出过类似的问题，霸权国家在预感到将要衰落时，会产生使用“预防性战争”来削弱和打击对手的内在冲动。当然，同样基于对外归因的逻辑，这类分析通常被用来分析英国霸权的衰落，以及前苏联的某些困境，很少被用来分析美国自己。透过棱镜来看，2014年让世界的前景面临不确定挑战的，恰恰是美国这个唯一的超级大国自己，不是很严谨的说，至少有如下三个方面的问题：

首先，霸权国的历史焦虑催生的安全困境，这里说的是美国战略决策者以及国内各阶层对自身地位变化的抗拒心理，以及由此带来的严重后果。对比从20世纪90年代开始到2014年的总统《国家安全战略报告》，大致可以感知到这种历史焦虑的产生和变化脉络：1992-2000年，持续96个月经济高速增长支撑下的美国，是高度自信的，因此在克林顿总统发布的系列国家安全战略报告中，美国可以非常坦然的谈论“美国不可能长期保持单一领先地位”，“世界上没有任何霸权可以长期存在”，“最快在2030-2050年前后美国将迎来另一个势均力敌的竞争对手”；2001-2006年，傲视全球的小布什总统主要焦点瞄准的是恐怖主义与大规模杀伤性武器的集合，虽然还没有重现肯尼迪总统就职演说中那种“支持一切朋友，反对一切敌人，承担所有代价”的豪情万丈，但其他平行竞争者的威胁还不在美国眼里，“大国关系处于史上前所未有的最好时期”，是小布什总统时期美国自信的外在典型表现之一；到了奥巴马政府时期，尤其是奥巴马连任之后的第二任期，昔日霸气自信的美国很有些朝祥林嫂方向发展的趋势，总统在国情咨文里对美国强大的表述，令人回味无穷，他说“美国是不可能被公平的竞争击败的，因为美国是最强的；凡是在竞争中击败美国的，都一定是作弊的”，从用任何方式都无法被击败，到承认可以甚至已经被击败，只是对手作弊，不由让人感叹，曾几何时，美国也堕落到了革命老电影里那种大喊“不是兄弟无能，是共军太狡猾”的反派龙套的地步了？堂堂霸权国当然不是几个反派龙套能够比拟的，他的历史焦虑必然会转化成为预防性的行动。这种行动，包括强化自身的力量来重建自己，以及盟友，对霸权力量的必要信任，包括采取必要的行动，尽可能消除焦虑的来源，那个以“不科学”的方式和道路发展至今的挑战国，包括采取各种安排，收缩和调整整个国家的心态，以适应形势的变化。在此过程中，霸权国家调整的行动，会催生经典的安全困境：明确对挑战国的指向性，会迫使挑战国采取相应的回应措施。1914年，同盟国和协约国就是顺着这条道路走向战争的。今天，在何时，是否能避免进入升级的螺旋，那些积极的因素能否发挥最后一道着舰拦阻索那样的作用，值得观察。

其次，霸权国相对衰落引发的机制变迁，这里说的是作为多边机制首创者的霸权国因为自己的衰落带头开始放弃自己倡导的国际机制的现象。基欧汉在《霸权之后》中描述了霸权衰落之后国际体系还能维持稳定的关键：新兴大国会自觉维护霸权制定的国际机制。基欧汉没有说倡导了这些国际机制的霸权国家在衰落之后会怎么样，但一般默认的是，霸权国家应该是其倡导建立的国际机制的最大受益者，他衰落只是他无法继续承担维护机制的成本。但现在出现的问题，应征的是华尔兹而非基欧汉的命题：华尔兹说，国家关注的是相对收益，当它发现相对收益不利于自身的时候，他的选择是退出合作。这种理论上的描述正在2014年前后变成现实，霸权国美国，在发现相对收益的分配不利于自己，主要挑战者中国以更快的速度发展、接近，并展现出在数量上超越美国的某种可能性时，美国选择的是放弃自己倡导的国际多边机制，以谋求建立新的，更加有利于自己的机制，重新制定游戏规则。从话语上来看，中国开始越来越强调“自由贸易”，而美国开始强调“公平贸易”。毫无疑问，美国的抱怨不是完全没有道理的，中国在遵循美国制定的游戏规则时当然有需要改进的地方；但更没有道理的是，美国将判断新来者是否遵守游戏规则的标准设定为“美国是否获利”，凡是打赢了美国的都被认为是作弊，80年代的日本如此，现在的中国如此。2014年的今天，棱镜折射下的中国与美国，相当数量的中国研究者，分析者，评论者，乃至政策制定者，自觉或不自觉的以一种奇怪的自虐倾向认同美国的看法，但更多的国人，以及在中国和其他新兴国家带领下的发展中国家，重新审视这种超级大国的奇怪心态，就像审视一个笼罩在耀眼光环的孩子，一开始大家仰慕，说这是个天才，光环褪去之后，人们发现虽然他不是在裸奔，但其本质却是个长歪了的熊孩子。霸权国这种对待国际机制弃之如敝屐的实用主义态度，带来的危险，是其他国家失去对国际机制神圣性、合法性的认知，创始者已经如此对待，如果不是那种霸权虐我千百遍，我仍待霸权如初恋的斯德哥尔摩综合症显性患者（江湖俗称的抖M属性小受），恐怕整个国际机制都会因为霸权衰落初始阶段这种不负责任的挣扎行动支付高昂的代价。

第三，霸权国相对衰落诱发的结构性绑架行为，特别是原先有着各种不纯洁的复杂心思抱霸权大腿的野心小国们的蠢蠢欲动，更加危险。1914年，萨拉热窝街头的枪声，最终让大国因为巴尔干小国的行为，卷入了一场没有完全准备好的战争。2014年，霸权国美国在进行战略调整时，因为自身战略的有限性，同时采取了放日本出笼的政策（暂时委屈一下汪星人），说白了就是放狗出笼，同时又希望弄一条皮带拴着：美国不遗余力的在亚洲鼓励日本、越南、菲律宾等国家直接对崛起中的中国实施牵制；美国同时不遗余力的鼓励澳大利亚等相对中立的国家参与这种牵制；但是，仅仅就日本而言，美国的这种放狗咬人火中取栗的战略，就面临巨大的考验。因为日本会努力主导事态的发展，利用美国的担心，即无法兑现军事盟友承诺引发的多米诺效应，根据日本的利益而非美国的战略安排，进行结构性的绑架行动：通过超越美国设想的力度，和方式，对中国实施强烈刺激，迫使中国做出强烈回应；然后以这种回应威胁日本安全为理由，向美国撒娇，要求美国兑现安全承诺；最终促成中国和美国以符合日本利益的方式迎头相撞，美国重伤，退回美洲大陆，中国惨败，躺在那儿等着人来收尸；日本在亚洲重新回到优等生的第一把座椅，制霸天下。这种结构性绑架行为，在日本解禁集体自卫权的过程中，已经初现端倪：日本是通过在钓鱼岛问题上持续刺激中国，来向美国证明自己的战略价值，并迫使美国在钓鱼岛问题上逐渐放弃原先最符合美国国家利益的战略模糊立场，交换日本承担更多防卫义务的。从这个意义上来说，日本解禁集体自卫权，是美国霸权已经衰落到无法继续保持原先美日地位关系的一种间接证明；日本借助乌克兰危机，公然逼美国表态安保条约适用钓鱼岛问题，则是这种结构性绑架行为在外交和话语层面的重要体现；下一步的分界线，是日本是否会采取海上或者空中的挑衅行动，主动擦枪走火，拉美国进入一场不同烈度的正面对抗。这显然是2014年最危险的场景，甚至比100年前萨拉热窝街头的枪声更加危险。

在2014年的这场博弈中，100年前的一战，冷战时期形成的战略平衡，以及多边国际机制，或者，更加概括的说，整个国际体系，都面临严峻的考验；作为当事方之一的中国，概莫能外，如何设定自己的战略目标，选择具体的实践方法，包括在哪个问题上有限度的使用自己的力量，在哪些方面，继续积累改善自己的力量，都构成牵一发动全身的战略选择，对于这些选择，中国必须谨慎对待，除了牢记“兵者，国之大事，死生之地，存亡之道，不可不察”的古训之外，正确并系统全面的从120年前的甲午之战的惨败中汲取教训，更是2014年中国战略决策者们不可回避的历史使命。

全球领先的信息技术研究和顾问公司Gartner近日公布了2014年十大信息安全技术，同时指出了这些技术对信息安全部门的意义。

Gartner副总裁兼院士级分析师Neil MacDonald表示：“企业正投入越来越多的资源以应对信息安全与风险。尽管如此，攻击的频率与精密度却越来越高。高阶锁定目标的攻击与软件中的安全漏洞，让移动化、云端、社交与大数据所产生的“力量连结（Nexus of Forces）”在创造全新商机的同时也带来了更多令人头疼的破坏性问题。伴随着力量连结商机而来的是风险。负责信息安全与风险的领导者们必须全面掌握最新的科技趋势，才能规划、达成以及维护有效的信息安全与风险管理项目，同时实现商机并管理好风险。“

十大信息技术分别为：

云端访问安全代理服务（Cloud Access Security Brokers）

云端访问安全代理服务是部署在企业内部或云端的安全策略执行点，位于云端服务消费者与云端服务供应商之间，负责在云端资源被访问时套用企业安全策略。在许多案例中，初期所采用的云端服务都处于IT掌控之外，而云端访问安全代理服务则能让企业在用户访问云端资源时加以掌握及管控。

适应性访问管控（Adaptive Access Control）

适应性访问管控一种情境感知的访问管控，目的是为了在访问时达到信任与风险之间的平衡，结合了提升信任度与动态降低风险等技巧。情境感知（Context awareness）是指访问的决策反映了当下的状况，而动态降低风险则是指原本可能被封锁的访问可以安全的开放。采用适应性访问管理架构可让企业提供不限设备、不限地点的访问，并允许社交账号访问一系列风险程度不一的企业资产。

全面沙盒分析（内容引爆）与入侵指标（IOC）确认

无可避免地，某些攻击将越过传统的封锁与安全防护机制，在这种情况下，最重要的就是要尽可能在最短时间内迅速察觉入侵，将黑客可能造成的损害或泄露的敏感信息降至最低。许多信息安全平台现在都具备在虚拟机（VM）当中运行（亦即“引爆”）执行档案和内容的功能，并且能够观察VM当中的一些入侵指标。这一功能已迅速融入一些较强大的平台当中，不再属于独立的产品或市场。一旦侦测到可疑的攻击，必须再通过其他不同层面的入侵指标进一步确认，例如：比较网络威胁侦测系统在沙盒环境中所看到的，以及实际端点装置所观察到的状况（包括：活动进程、操作行为以及注册表项等）。

端点侦测及回应解决方案

端点侦测及回应（EDR）市场是一个新兴市场，目的是为了满足端点（台式机、服务器、平板与笔记本）对高阶威胁的持续防护需求，最主要是大幅提升安全监控、威胁侦测及应急响应能力。这些工具记录了数量可观的端点与网络事件，并将这些信息储存在一个集中地数据库内。接着利用分析工具来不断搜寻数据库，寻找可提升安全状态并防范一般攻击的工作，即早发现持续攻击（包括内部威胁），并快速响应这些攻击。这些工具还有助于迅速调查攻击范围，并提供补救能力。

新一代安全平台核心：大数据信息安全分析

未来，所有有效的信息安全防护平台都将包含特定领域嵌入式分析核心能力。一个企业持续监控所有运算单元及运算层，将产生比传统SIEM系统所能有效分析的更多、更快、更多元的数据。Gartner预测，至2020年，40%的企业都将建立一套“安全数据仓库”来存放这类监控数据以支持回溯分析。籍由长期的数据储存于分析，并且引入情境背景、结合外部威胁与社群情报，就能建立起“正常”的行为模式，进而利用数据分析来发觉真正偏离正常的情况。

机器可判读威胁智能化，包含信誉评定服务

与外界情境与情报来源整合是新一代信息安全平台最关键的特点。市场上机器可判读威胁智能化的第三方资源越来越多，其中包括许多信誉评定类的选择。信誉评定服务提供了一种动态、即时的“可信度”评定，可作为信息安全决策的参考因素。例如，用户与设备以及URL和IP地址的信誉评定得分就可以用来判断是否允许终端用户进行访问。

以遏制和隔离为基础的信息安全策略

在特征码（Signatures）越来越无法阻挡攻击的情况下，另一种策略就是将所有未知的都当成不可信的，然后在隔离的环境下加以处理并运行，如此就不会对其所运行的系统造成永久损害，也不会将该系统作为矢量去攻击其他企业系统。虚拟化、隔离、提取以及远程显示技术，都能用来建立这样的遏制环境，理想的结果应与使用一个“空气隔离”的独立系统来处理不信任的内容和应用程序一样。虚拟化与遏制策略将成为企业系统深度防御防护策略普遍的一环，至2016年达到20%的普及率，一改2014年几乎未普遍采用的情况。

软件定义的信息安全

所谓的“软件定义”是指当我们将数据中心内原本紧密耦合的基础架构元素（如服务器、存储、网络和信息安全等等）解离并提取之后所创造的能力。如同网络、计算与存储的情况，对信息安全所产生的影响也将发生变化。软件定义的信息安全并不代表不再需要一些专门的信息安全硬件，这些仍是必不可少的。只不过，就像软件定义的网络一样，只是价值和智能化将转移到软件当中而已。

互动式应用程序安全测试

互动式应用程序安全测试（IAST）将静态应用程序安全测试（SAST）与动态应用程序安全测试（DAST）技术进行结合。其目的是要通过SAST与DAST技术之间的互动以提升应用程序安全测试的准确度。IAST集合了SAST与DAST最好的优点于一单一解决方案。有了这套方法，就能确认或排除已侦测到的漏洞是否可能遭到攻击，并判断漏洞来源在应用程序代码中的位置。

针对物联网的安全网关、代理与防火墙

企业都有一些设备制造商所提供的运营技术（OT），尤其是一些资产密集型产业，如制造业与公共事业，这些运营技术逐渐从专属通信与网络转移至标准化网际网络通信协议（IP）技术。越来越多的企业资产都是利用以商用软件产品为基础的OT系统进行自动化。这样的结果是，这些嵌入式软件资产必须受到妥善的管理、保护及配发才能用于企业级用途。OT被视为产业界的“小物联网”，其中涵盖数十亿个彼此相连的感应器、设备与系统，许多无人为介入就能彼此通信，因此必须受到保护与防护。

背景：

网站安全漏洞在被发现后，需要修复，而修复需要时间，有些厂商可能无能力修复，甚至部分网站主可能连是否存在漏洞都无法感知（尤其是攻击者使用0day的情况下）。或者刚公开的1day漏洞，厂商来不及修复，而众多黑客已经掌握利用方法四面出击，防不胜防。这个时候如果有统一集中的网站防护系统（WAF）来防护，则漏洞被利用的风险将大大降低，同时也为漏洞修复争取时间！

笔者所在公司的业务较多，光域名就成千上万，同时网络流量巨大，动辄成百上千G。而这些业务部署在数十万台服务器上，管理运维职能又分散在数十个业务部门，安全团队不能直接的管理运维。在日常的安全管理和对抗中，还会经常性或者突发性的遇到0day需要响应，比如更新检测引擎的功能和规则，这些都是比较现实的挑战。

对于WAF的实现，业界知名的网站安全防护产品也各有特色。本文将对主流的WAF架构做一个简单的介绍，和大家分享下。同时结合笔者所在公司业务的实际情况，采用了一种改进方案进行探索，希望本文能达到抛砖引玉的效果。(不足之处请各位大牛多多指教)

特别声明：以下方案无优劣之分，仅有适合不适合业务场景的区别。

业界常见网站安全防护方案

方案A：本机服务器模块模式

通过在Apache，IIS等Web服务器内嵌实现检测引擎，所有请求的出入流量均先经过检测引擎的检测，如果请求无问题则调用CGI处理业务逻辑，如果请求发现攻击特征，再根据配置进行相应的动作。以此对运行于Web服务器上的网站进行安全防护。著名的安全开源项目ModSecurity及naxsi防火墙就是此种模式。

优点：

1、 网络结构简单，只需要部署Web服务器的安全模块

挑战：

1、 维护困难。当有大规模的服务器集群时，任何更新都涉及到多台服务器。

2、 需要部署操作，在面临大规模部署时成本较高。

3、 无集中化的数据中心。针对安全事件的分析往往需要有集中式的数据汇总，而此种模式下用户请求数据分散在各个Web服务器上。

方案B：反向代理模式

使用这种模式的方案需要修改DNS，让域名解析到反向代理服务器。当用户向某个域名发起请求时，请求会先经过反向代理进行检测，检测无问题之后再转发给后端的Web服务器。这种模式下，反向代理除了能提供Web安全防护之外，还能充当抗DDoS攻击，内容加速（CDN）等功能。云安全厂商CloudFlare采用这种模式。

优点：

1、 集中式的流量出入口。可以针对性地进行大数据分析。

2、 部署方便。可多地部署，附带提供CDN功能。

挑战：

1、 动态的额外增加一层。会带来用户请求的网络开销等。

2、 站点和后端Web服务器较多的话，转发规则等配置较复杂。

3、 流量都被捕捉，涉及到敏感数据保护问题，可能无法被接受。

方案C：硬件防护设备

这种模式下，硬件防护设备串在网络链路中，所有的流量经过核心交换机引流到防护设备中，在防护设备中对请求进行检测，合法的请求会把流量发送给Web服务器。当发现攻击行为时，会阻断该请求，后端Web服务器无感知到任何请求。防护设备厂商如imperva等使用这种模式。

优点：

1、 对后端完全透明。

挑战：

1、 部署需改变网络架构，额外的硬件采购成本。

2、 如Web服务器分布在多个IDC，需在多个IDC进行部署。

3、 流量一直在增加，需考虑大流量处理问题。以及流量自然增长后的升级维护成本。

4、 规则依赖于厂商，无法定制化，不够灵活。

我们的探索

笔者所在的公司在不同的场景下，也近似的采纳了一种或者多种方案的原型加以改进使用运营。（比如方案C，其实我们也有给力的小伙伴做了很棒的努力，通过自研的方式解决了不少挑战，以后有机会或许也会和大家分享一些细节）

今天给大家介绍的，是我们有别于业界常见模型的一种思路：

方案D：服务器模块+检测云模式

这种模式其实是方案A的增强版，也会在Web服务器上实现安全模块。不同点在于，安全模块的逻辑非常简单，只是充当桥梁的作用。检测云则承担着所有的检测发现任务。当安全模块接收到用户的请求时，会通过UDP或者TCP的方式，把用户请求的HTTP文本封装后，发送到检测云进行检测。当检测无问题时，告知安全模块把请求交给CGI处理。当请求中检测到攻击特征时，则检测云会告知安全模块阻断请求。这样所有的逻辑、策略都在检测云端。

我们之所以选择这个改进方案来实现防护系统，主要是出于以下几个方面的考虑：

1、       维护问题

假如使用A方案，当面临更新时，无法得到及时的响应。同时，由于安全逻辑是嵌入到Web服务器中的，任何变更都存在影响业务的风险，这是不能容忍的。

2、       网络架构

如果使用方案B，则需要调动大量的流量，同时需要提供一个超大规模的统一接入集群。而为了用户就近访问提高访问速度，接入集群还需要在全国各地均有部署，对于安全团队来说，成本和维护难度难以想象。

使用该方案时，需要考虑如下几个主要的挑战：

1、       网络延时

采用把检测逻辑均放在检测云的方式，相对于A来说，会增加一定的网络开销。不过，如果检测云放在内网里，这个问题就不大，99%的情况下，同城内网发送和接收一个UDP包只需要1ms。

2、       性能问题：

由于是把全量流量均交给集中的检测云进行检测，大规模的请求可能会带来检测云性能的问题。这样在实现的时候就需要设计一个好的后端架构，必须充分考虑到负载均衡，流量调度等问题。

3、       部署问题：

该方案依然需要业务进行1次部署，可能会涉及到重编译web服务器等工作量，有一定的成本。并且当涉及到数千个域名时，问题变的更为复杂。可能需要区分出高危业务来对部署有一个前后顺序，并适时的通过一些事件来驱动部署。

最后，我们目前已灰度上线了这套防御方案，覆盖重要以及高危的业务站点。目前日均处理量约数百亿的规模，且正在快速增长阶段。

本文只是一个粗略的简介，我们在建设过程中也遇到了远高于想象的挑战和技术难题，后续将会有系列文章来深入剖析和介绍，希望对大家有所帮助。

作者：腾讯安全应急响应中心 那个谁