產品架構

雷池（SafeLine）下一代Web應用防火墻，具備以智能語義分析為核心，結合流量學習、訪問控制等多種防護技術于一體的攻擊檢測引擎，具有極少的漏報誤報率和優秀的0day防護能力，采用多級熔斷和高可用相結合的手段保障業務連續性，具備集群化、容器化等適用多種平臺的部署模式，結合BOT管理、API防護、DDoS防護、威脅情報等能力，為用戶提供安全、合規、穩定、易用的Web應用安全保障。

圖：雷池（SafeLine）產品系統架構圖

雷池（SafeLine）下一代Web應用防火墻通過接入Web訪問流量，進行協議解析與深度解碼，調動語義分析、流量學習、訪問控制和自定義插件引擎、BOT管理模塊、威脅情報信息進行分析，根據預設策略允許或阻斷訪問流量。

產品功能

攻擊行為智能檢測

雷池（SafeLine）具有覆蓋OWASP安全風險的智能檢測引擎，不依靠傳統規則匹配模型，通過智能識別和分析HTTP/HTTPS，發現和阻斷安全威脅。

流量自學習

雷池（SafeLine）具備基于用戶流量特征的分析能力，通過機器學習，對一類請求進行學習，生成形成基于客戶業務流量的特征模型。雷池（SafeLine）將依據特征模型對業務流量進行檢測，阻斷不符合業務特征的流量訪問，有效防范非正常的訪問。

Web訪問控制

圖：Web訪問控制原理

雷池（SafeLine）支持靈活的訪問控制機制，內置訪問控制引擎，根據源IP、Session來統計客戶端訪問行為，用戶可通過設置針對特定域名、URL的訪問頻率和IP黑/白名單策略，限制相關源的訪問行為。雷池（SafeLine）內置Session系統，可滿足不同用戶的訪問控制需求。

可編程擴展插件

圖：可編程插件的應用

雷池（SafeLine）提供自定義擴展插件功能，支持Lua腳本語言編寫擴展插件，能夠構建可與用戶其他系統互動的業務安全防護體系。通過語義分析引擎檢測后的實時流量，調用與業務相關的分析插件，實現與業務邏輯緊密相關的請求處理邏輯，使雷池（SafeLine）成為功能可插拔、信息可推送、流量可分析、應用可調用的靈活智能WAF，適用不同用戶各類業務安全防護的定制需求。

IPv4/IPv6雙協議棧

隨著我國IPv6下一代互聯網技術的快速推進，各個行業均在推動IPv4到IPv6協議的過渡更替。雷池（SafeLine）支持雙協議棧技術，同時支持IPv4與IPv6網絡協議，能夠滿足IPv4向IPv6過渡階段的網絡部署需求。

核心優勢

理解不同行業的需求

網絡安全產品由于客戶業務形態不同，需要具備快速且靈活的策略制定和調適能力。雷池（SafeLine）最早提出“插件市場”概念，以AppStore的理念方式為客戶預置多樣策略插件，并提供API接口讓客戶靈活通過簡單代碼實現最定制化的策略調整，以滿足業務的需求。

彈性擴展適配新型應用場景

近年來，新基建帶來的流量在逐漸增大，但是傳統應用軟件型WAF系統多為功能模塊組合實現，在上云時僅能安裝在一個個單獨的虛擬機中使用，導致云平臺的自動彈性伸縮等優秀特性很難被發揮出來，因此除了個別擁有大量數據的云服務企業外，沒有較成熟的手段結合大數據等新技術能力使傳統WAF與云生態深度融合。

雷池（SafeLine）容器化的底層架構，能夠輕松實現彈性擴展，在極低能耗的基礎上實現高可用、高效率，且能夠滿足快速上線、靈活增減策略等易用性需求，適配新基建時期云時代大流量、智能計算的應用場景。

滿足中國特色云化需求

中國作為互聯網超大流量頭部公司的聚集地，每天都面臨著巨大用戶流量、海量請求的安全問題。WAF作為傳統的應用層防護工具，雖然已存在十幾年，但已無法滿足當前用戶的需求。雷池（SafeLine）在與這些客戶需求對接時，是當時中國市場上能夠滿足技術需求的唯一選擇。

其次，不同于國外的公有云普及速度，我國存在大量自建私有云、政務云、混合云的需求場景，導致網絡環境的架構復雜性多樣。雷池（SafeLine）靈活的底層架構決定了部署方式的靈活性，在眾多客戶需求情況下，已具備國內同類產品中最全的部署方式。其中，Kubernetes WAF的部署方式，在當前國際范圍內也僅有不超過3家的廠商具備同等能力。

0day漏洞防護能力

雷池（SafeLine）創新性的威脅檢測方法擺脫了傳統規則型檢測方法必須已知攻擊和漏洞利用方式才能防御的短板，通過內置各類編程語言編譯系統，對攻擊Payload進行語義分析，識別其真正意圖，依靠威脅模型識別其威脅等級，在面對突發0day漏洞威脅時，同樣具備識別和防御能力。

Struts2系列漏洞讓整個信息安全行業草木皆兵，雷池（SafeLine）研發團隊自S2-045開始對引擎進行升級，完善基于OGNL語言的分析檢測算法。當S2-048漏洞爆發時，雷池（SafeLine）無需升級即可攔截利用該漏洞的攻擊訪問。

威脅模型來自對各類攻擊數據的深度學習，對攻擊行為特征進行威脅定級，進而建立威脅模型。隨著樣本數據的增加，威脅模型越來越精準。長亭科技依托自身強大的安全研究團隊，使用海量攻擊樣本打磨威脅檢測引擎，并不斷更新完善，為用戶提供先人一步的防護能力。

簡易上手、快速部署、綜合聯動

雷池（SafeLine）提供軟硬件形態的交付方式，支持旁路、透明代理、路由代理、反向代理等多種部署模式，適合各類部署環境。雷池（SafeLine）產品界面友好，無需維護龐雜的規則庫，即可實現站點防護策略配置，同時具備良好的站點資產管理視角，用戶可按照站點靈活選取防護策略。對內，雷池（SafeLine）可以與長亭蜜罐、掃描器、集中管理平臺等產品聯動；對外，依托Open API，雷池（SafeLine）可嵌入客戶安全防護體系，實現安全業務的聯動。

全開放功能接口

圖：Open API架構

雷池（SafeLine）具備全功能開放接口（Open API），所有頁面功能均可通過API實現調用，可通過SoC或SIEM平臺調取雷池（SafeLine）檢測日志、下發安全策略等，構建多平臺、多設備的安全聯動，提高安全和運維管理效率。雷池（SafeLine）提供基于REST-ful的標準API接口，可快速融入用戶安全運維體系。

典型應用

BOT防御

圖：BOT防御原理

雷池（SafeLine）除了支持解析識別檢測請求內容中的攻擊行為，以及客戶端的超頻異常訪問行為外，還可以針對發起請求的客戶端進行多種主動校驗識別，統一管理BOT請求，管理好的BOT，提高惡意BOT的攻擊成本，有效保護業務的正常運營以及數據安全。

API安全

除了針對HTTP/HTTPS的Web應用服務站點的防護外，雷池（SafeLine）也支持針對API的防護，通過防護引擎對API流量進行安全檢測，阻斷攻擊行為，有效的為微服務、物聯網提供安全防護。

DDoS防護

雷池（SafeLine）支持與云端清洗服務聯動，實現對各類DDoS攻擊的防御，能夠針對服務器資源消耗較大的訪問進行重點監控，通過頻率統計、人機識別等多種技術，有效保護服務器資源系統不被惡意消耗，保障業務連續性。

雷池（SafeLine）利用云端海量的威脅情報信息資源，結合自身安全防護管理能力進行防控聯動，從而實施更多種針對已知風險進行的快速對抗響應措施，同時利用威脅情報查詢機制獲取更多IP標簽信息，提升現有安全解決方案的檢測和防御能力，甚至溯源能力。

等保合規

從網絡安全法到等保2.0，對安全設備、包含安全設備的網絡環境提出了一系列的安全要求。雷池（SafeLine）符合規范中對Web應用防火墻的技術要求，能夠達到等保三級建設標準的安全水平，其中包括對登錄賬戶的密碼復雜度要求，日志保留達到6個月等技術要求。

國產化替代

國產化是國家安全的重要戰略。雷池（SafeLine）通過適配和驗證，已經擁有完全國產化平臺型號的版本，能夠滿足國產化安全可控的要求，保證自身從底層硬件到上層應用的安全控制。

產品部署

部署方式概覽

雷池（SafeLine）具有硬件和軟件兩種形態，方便在不同用戶系統環境中部署。雷池支持各種常規部署模式，例如旁路檢測、透明橋、透明代理、反向代理、路由代理、集群反向代理、嵌入式反向代理等。在新的應用環境下，雷池（SafeLine）還支持服務器引流部署方式、Kubernetes編排部署方式等獨有的新型部署模式。

典型部署

集群反向代理

圖：雷池（SafeLine）軟件集群反向代理

雷池（SafeLine）軟件集群模式部署，支持將網絡服務和檢測模塊分布式部署在多個主機節點中，在管理模塊統一調度下形成軟件集群，通過反向代理模式實現對所有訪問請求的檢測，并支持對后端服務器的業務負載均衡，同時支持多節點冗余和擴展，保證WAF的高性能和業務高可用。軟件集群可部署在公有云VPC環境中，保護部署在公有云環境的Web服務。

該模式具備高性能、高可靠和易擴展等特點，適合用戶訪問量大、業務并發高等應用場景。

嵌入式集群反向代理

圖：雷池（SafeLine）軟件嵌入式集群反向代理

雷池（SafeLine）支持嵌入部署在用戶已有Nginx、Tengine反向代理集群中，實現物理旁路、邏輯串聯的部署模式。該模式需用戶Nginx、Tengine集群支持加載動態模塊，將雷池（SafeLine）流量牽引SO模塊在用戶環境中編譯后，添加至反向代理集群中，從而將Web訪問流量牽引至檢測節點中，根據檢測結果通知反向代理集群轉發或阻斷。

該模式可在不改變原有反代集群模式下實現雷池（SafeLine）的嵌入式部署，適合已建設反向代理集群，且運維管理能力較強的用戶采用。

服務器引流部署模式

手機銀行等帶有非國際標準的加密流量或經VPN訪問的加密流量，無法使用WAF的代理模式進行檢測。針對這種場景，雷池（SafeLine）提供了服務器引流部署模式，可以將非標準加密流量解密后再進行攻擊檢測，防護使用非通用加密措施進行加密的流量。

云上部署與Kubernetes統一編排

業務上云和容器化是當前網絡服務的趨勢，雷池（SafeLine）已經完成容器化實現，可以直接融合進入客戶的Kubernetes系統，與客戶的業務系統容器進行統一編排。雷池（SafeLine）能夠以集群、容器化的方式進行部署，將檢測節點以容器的方式，融合到客戶的Kubernetes編排系統中統一管理，使得雷池（SafeLine）的檢測能力與客戶的Web服務提供能力始終保持一致。同時，雷池（SafeLine）也支持多租戶的應用模式，可以使各個賬戶之間的防護策略和規則互不干擾。

成功案例

某上市證券公司

用戶需求

某上市證券公司依托互聯網建設了門戶網站、網上營業廳、在線客服等線上應用，部署WAF是為了完善的信息安全防護體系，也為了在網絡安全形勢日益嚴峻，監管趨于嚴格的情形下，進一步提升Web應用的防護等級，同時滿足等保2.0和金融行業網絡安全規范。

解決方案

該企業采用雷池（SafeLine）下一代Web應用防火墻硬件設備，選擇硬件反向代理部署模式，部署在Web服務器區外部，實現對Web應用的安全防護。拓撲圖如下所示：

圖：雷池（SafeLine）硬件雙機反向代理部署

在硬件反向代理部署模式下，Web訪問流量經雷池（SafeLine）反向代理至Web服務區，實現實時Web安全防護，同時雷池（SafeLine）采用雙機冗余配置，避免單點故障，提高業務可用性。

建設成效

? 符合監管要求，實現對門戶網站、網上營業廳、在線客服等業務系統的實時防護

? 安全運維管理系統通過API將雷池（SafeLine）納入安全運維管理體系，實現運行狀態和告警信息的自動上報，提升安全運維管理效率

? 協助用戶通過了等保2.0的技術測評

某大型電商平臺

用戶需求

某電商平臺近年來迅猛發展，已成為國內電子商務平臺佼佼者，擁有億級用戶群體，每日交易量千萬級。該電商平臺用戶內部網絡架構復雜，業務系統繁多，包括內部業務系統、電商網站、商家管理系統、BBS等，希望實現對內外部各類Web應用的安全防護體系，并且納入安全防護體系，與業務風控等系統實現聯動。

解決方案

該企業采用雷池（SafeLine）下一代Web應用防火墻軟件集群解決方案，共部署17個檢測節點，采用反向代理集群方式，實現Web安全防護，同時緊密貼合業務需求，通過自定義插件實現防“羊毛黨”、防爬蟲的業務需求。

圖：雷池（SafeLine）軟件集群反向代理部署

建設成效

? 高效識別Web攻擊行為，與現有安全防控體系實現有效聯動

? 重大活動期間，通過自定義業務防護插件防護“薅羊毛”等異常訪問行為

? 平均日業務處理量10萬QPS，業務穩定性不低于99.9%

某在線教育平臺

用戶需求

因為業務需求考慮，某客戶的服務器分別部署在阿里云、騰訊云和IDC機房。雖然業務不相同，但是隨著該用戶的業務范圍逐漸擴大，用戶希望對WAF能夠實現統一管理。

解決方案

該用戶采用該分布式集群部署方案，將所有云上、機房的流量統一集中到一個管理中心進行集中防護，采用統一日志分析、策略下發和訪問統計，有效防護針對不同服務器的踩點攻擊等行為。

圖：雷池（SafeLine）分布式集群部署

建設成效

? 通過全業務群聯合防護，有效做到統一管理、集中控制，及時發現同一IP對不同業務發起的攻擊行為

? 減少運維時策略的配置下發和調試工作