隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，Web和數(shù)據(jù)庫結(jié)合的B/S（Browser-Server）架構(gòu)在各行業(yè)的企業(yè)系統(tǒng)中發(fā)揮著越來越重要的作用，這種模式將系統(tǒng)功能實(shí)現(xiàn)的核心部分集中到服務(wù)器上，客戶端無需安裝專用軟件，通過瀏覽器即可與Web 服務(wù)器、數(shù)據(jù)庫服務(wù)器進(jìn)行交互，有效降低了系統(tǒng)維護(hù)與升級的成本和工作量，但與此同時，也為黑客創(chuàng)造了新的潛在入口點(diǎn)。

當(dāng)前，Web應(yīng)用程序漏洞的數(shù)量當(dāng)前已高達(dá)數(shù)萬個，并且每年都在增加。據(jù)不完全數(shù)據(jù)統(tǒng)計顯示，2022年全國范圍內(nèi)大中型政企的網(wǎng)絡(luò)安全應(yīng)急事件超1000起，很多政企機(jī)構(gòu)在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)、網(wǎng)絡(luò)安全運(yùn)營等方面能力不足，使得數(shù)據(jù)破壞、用戶信息泄露、生產(chǎn)效率降低等事件層出不窮，嚴(yán)重影響應(yīng)用的可用性及安全性，甚至可能造成系統(tǒng)大面積阻塞以及癱瘓。

Web 應(yīng)用程序防火墻 (以下簡稱：WAF) 是網(wǎng)絡(luò)安全防御的重要手段之一，能夠幫助用戶創(chuàng)建和管理規(guī)則，并執(zhí)行一系列針對HTTP/HTTPS的安全策略，防御惡意攻擊和非授權(quán)流量，從而保護(hù)Web 應(yīng)用免遭漏洞威脅。

江蘇通付盾科技有限公司自主研發(fā)的新一代動態(tài)Web應(yīng)用防火墻產(chǎn)品——動態(tài)WAF應(yīng)用，可搭載通付盾動態(tài)防護(hù)、爬蟲防護(hù)和智能決策三大引擎，整合站點(diǎn)加固、人機(jī)識別、風(fēng)險過濾、自動化攻擊攔截等技術(shù)，對所有訪問的流量進(jìn)行安全檢測、過濾和智能阻斷，同時支持API接口防護(hù)功能，識別各種針對API的非法行為和安全攻擊，并進(jìn)行有效的實(shí)時防護(hù)。

最終保障業(yè)務(wù)免受惡意攻擊引發(fā)的數(shù)據(jù)泄露、業(yè)務(wù)欺詐、資源高負(fù)載等安全問題，為企業(yè)業(yè)務(wù)安全提升綜合防護(hù)能力，確保業(yè)務(wù)能夠高效、安全、可靠的運(yùn)營。

伴隨互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展，https訪問請求與日俱增，網(wǎng)站包含了越來越多的業(yè)務(wù)數(shù)據(jù)，網(wǎng)站的并發(fā)訪問性能亟需提升，此外，近年來國家陸續(xù)出臺安全相關(guān)的法規(guī)政策及技術(shù)標(biāo)準(zhǔn)等都對動態(tài)WAF產(chǎn)品的底層基礎(chǔ)設(shè)施提出了更高的要求：

大體量

主源服務(wù)器高峰期時訪問流量日均可達(dá)百萬級，為實(shí)現(xiàn)有效的訪問控制亟需更高性能的平臺滿足可用性；

高安全

為了保障業(yè)務(wù)數(shù)據(jù)受到惡意攻擊，通付盾動態(tài)WAF需要滿足數(shù)據(jù)資產(chǎn)安全、業(yè)務(wù)安全、站點(diǎn)安全，以實(shí)現(xiàn)對業(yè)務(wù)的全方位防護(hù)；

高智能

面對自動化攻擊場景，通付盾WAF不能只依賴傳統(tǒng)靜態(tài)/被動防御，需要更加智能化的決策引擎精準(zhǔn)發(fā)現(xiàn)并阻斷攻擊行為。

鯤鵬平臺天生的多核高并發(fā)能力，能夠很好的滿足WAF對高算力的要求，此外，鯤鵬開發(fā)套件DevKit提供面向全研發(fā)作業(yè)流程的工具鏈，能夠幫助用戶快速完成應(yīng)用的遷移、開發(fā)、編譯和調(diào)優(yōu)?；诖耍ǜ抖芘c江蘇鯤鵬·昇騰生態(tài)創(chuàng)新中心技術(shù)團(tuán)隊(duì)達(dá)成了深度合作，基于鯤鵬平臺共同打造動態(tài)WAF應(yīng)用，以數(shù)據(jù)安全流通為關(guān)鍵驅(qū)動要素，為政府、企業(yè)用戶提供自主安全的數(shù)據(jù)底座。

【通付盾動態(tài)WAF應(yīng)用架構(gòu)全棧圖】

遷移：基于鯤鵬DevKit 1人天/應(yīng)用快速遷移動態(tài)WAF應(yīng)用平臺

面對鯤鵬新的指令集架構(gòu)硬件平臺，技術(shù)人員需要由源碼開始構(gòu)建運(yùn)行環(huán)境，手動編譯該版本相關(guān)組件速度慢效率低，工作量和技術(shù)難度較大。通過鯤鵬DevKit 代碼遷移工具Porting Advisor共識別出依賴文件11個，可兼容JAR包1個，去重待驗(yàn)證JAR包10個，去重待驗(yàn)證so文件8個，其中兼容JAR包可直接下載替換。原計劃一周的遷移工作，在工具幫助下，平均1人天完成了單應(yīng)用的遷移，大大提高了遷移效率。

開發(fā)&調(diào)優(yōu)：基于鯤鵬DevKit高效開發(fā)TOP 10安全事件查詢分析功能，產(chǎn)品性能提升超20%

在遷移完成之后，針對動態(tài)WAF應(yīng)用的安全事件查詢場景，通付盾計劃在鯤鵬平臺上開發(fā)TOP 10安全事件查詢分析功能，該功能能夠快速查詢和分析TOP10的應(yīng)急漏洞信息、網(wǎng)站流量分析數(shù)據(jù)、網(wǎng)站威脅事件等，以便相關(guān)人員及時響應(yīng)并開展安全運(yùn)維工作，因此該功能對性能的要求比較高。

在開發(fā)過程中，為了提升編譯效率，技術(shù)人員將openJDK替換成畢昇JDK。畢昇JDK積累了大量華為內(nèi)部使用場景和實(shí)際問題解決經(jīng)驗(yàn)，并針對鯤鵬平臺和大數(shù)據(jù)等場景進(jìn)行了優(yōu)化，在鯤鵬架構(gòu)中為動態(tài)WAF應(yīng)用提供了更好的性能。

在編譯完成之后，為了進(jìn)一步提升軟件運(yùn)行性能，開發(fā)人員通過鯤鵬DevKit性能分析工具進(jìn)行了深度優(yōu)化：通過Java性能分析對應(yīng)用程序進(jìn)行在線分析，發(fā)現(xiàn)內(nèi)存逃逸、鎖消耗過高以及棧擴(kuò)容頻繁等問題，導(dǎo)致資源消耗過高，復(fù)雜查詢下頁面響應(yīng)有延遲。在工具的建議下，技術(shù)人員進(jìn)行了原子操作代替互斥鎖、針對讀操作的優(yōu)化消除了rwlock以及引入?yún)f(xié)程池等程序優(yōu)化操作，消除了復(fù)雜查詢下資源消耗過高等瓶頸，優(yōu)化數(shù)據(jù)庫查詢，解決了頁面響應(yīng)不及時的問題。

通過上述優(yōu)化，統(tǒng)計分析TOP 10、安全事件詳情等處理效率得到大幅提升。

統(tǒng)計分析Top10的響應(yīng)耗時由3.6ms縮短到2.8ms，性能提升22.22%；

安全事件查詢的效率由2200條/秒提升至3200條/秒，性能提升45.5%。

此外，通付盾動態(tài)WAF應(yīng)用的傳統(tǒng)規(guī)則防護(hù)，反爬蟲防護(hù)，動態(tài)防護(hù)，智能決策等業(yè)務(wù)的綜合性能都得到明顯提升，同時增強(qiáng)了安全防御能力，降低了服務(wù)器的負(fù)載，進(jìn)一步優(yōu)化了用戶的訪問速度與體驗(yàn)。

【統(tǒng)計分析Top10和安全事件查詢場景響應(yīng)時間性能調(diào)優(yōu)前后對比】

目前通付盾公司動態(tài)WAF已在政府、能源、金融、運(yùn)營商、教育等行業(yè)客戶中廣泛應(yīng)用，該方案也榮獲“2022數(shù)字金融創(chuàng)新大賽”銀獎，這不僅驗(yàn)證了該平臺的高性能、高兼容性、完整性和成熟度等技術(shù)優(yōu)勢，也標(biāo)志著江蘇通付盾科技有限公司在鯤鵬計算應(yīng)用創(chuàng)新、產(chǎn)業(yè)融合、市場應(yīng)用方面達(dá)到領(lǐng)先水平。

作為鯤鵬計算產(chǎn)業(yè)生態(tài)的重要合作伙伴，通付盾公司已與江蘇鯤鵬·昇騰生態(tài)創(chuàng)新中心建立長期合作關(guān)系。未來，通付盾將基于鯤鵬、歐拉等國內(nèi)主流產(chǎn)業(yè)生態(tài)平臺，打造更多數(shù)字化行業(yè)應(yīng)用安全解決方案，為行業(yè)持續(xù)提供自主創(chuàng)新的新一代邊界安全、身份安全、數(shù)據(jù)安全及應(yīng)用安全解決方案。

鯤鵬原生開發(fā)是指使用鯤鵬DevKit的原生開發(fā)能力，如鯤鵬開發(fā)框架（含場景化SDK）、編譯調(diào)試工具、云測服務(wù)、調(diào)優(yōu)&診斷工具等，在鯤鵬平臺上開發(fā)新軟件/新功能，充分發(fā)揮鯤鵬架構(gòu)優(yōu)勢，從而獲得開發(fā)效率/運(yùn)行性能提升。鯤鵬DevKit將持續(xù)增強(qiáng)開發(fā)體驗(yàn)、優(yōu)化工具能力，提升鯤鵬開發(fā)效率，助力千行百業(yè)數(shù)字化轉(zhuǎn)型。

江蘇通付盾科技有限公司

江蘇通付盾科技有限公司（以下簡稱：通付盾）創(chuàng)立于2011年，是一家以分布式數(shù)字身份和大數(shù)據(jù)決策智能技術(shù)為核心的新一代數(shù)字化基礎(chǔ)設(shè)施服務(wù)商，為政府、能源、金融、運(yùn)營商、互聯(lián)網(wǎng)等行業(yè)用戶提供基于無邊界、零信任、自適應(yīng)的“云、端、信”一體化數(shù)字技術(shù)產(chǎn)品與服務(wù)。