Web服务安全架构与实践

为什么在书中介绍Orange网关?

为什么是介绍Orange网关。

FreeBuf上有老师问,为什么选用介绍Orange网关,当初我们是这么考虑的。

0x01 背景

国内基于OpenResty Lua的开源网关,从规模和影响力方面,Orange是一个历史标杆,当初在国产OR网关不多的时候, Orange就已经出现被使用于生产中。区别于其他网关产品,还有一些基于OpenResty Lua的实现WAF的Web防火墙项目,Orange本身使用了自己的轻量级Lua Web框架Lor,并不是直接用Lua裸写功能。所以无论从代码规模,还是系统的设计架构思路,Orange和Lor框架,都很有其特点,值得参考学习。Orange是属于开山劈地之作之一。

0x02 Lor框架

这本书除了介绍Lor轻量级的框架,还介绍了同是Lua Web框架的Lapis框架,也是基于OR规模更大,同时Lapis还提供一种Moonscipt的语言,这种语言是最后用于翻译成Lua,MoonScript支持面向对象OO, 功能编写效率比Lua高,因为很多场景是基于OR完成,所以向大家介绍其中典型优秀的作品。

0x03 作者与APISIX

Orange的作者,本身也参与Apache APISIX的前身网关的设计实现,只是大家可能不太记得那个产品。这本书也有介绍基于APISIX的安全过滤插件功能,是可以基于APISIX的一个或者一组插件,完成想要实现的防护功能。介绍的篇幅有限,当时我们在写的时候,APISIX还没有从Apache毕业,现在毕业了并且在不断的迭代,其核心引擎的性能,应该比一些云WAF的性能要高(同样基于OR),并且在某些场景比KONG也的性能高出很多,大家如果有兴趣,可以去看看这个数据。

0x04 7层防护

以上,都是基于OpenResty Lua实现对7层数据的操作,主要使用的是Lua语言。而我们在书的后面,引入了OpenResty Edge,OpenResty Edge对于OpenResty,简单理解相当于,Nginx Plus与Nginx的关系。OpenResty的WAF功能,区别于基于OR WAF产品,加入了一个EdgeLang,建立在机械编程技术之上的。简单理解,EdgeLang是一种DSL,可以用简单的几句语句,就可构建WAF的策略,EdgeLang像MoonScript一样,最后把EdgeLang翻译成Lua,因为经过优化,性能对比直接用Lua写的代码性能高。

0x05 原生语言

以上的操作,都是围绕7层数据,构建工具的应用场景。最后的章节,我们引入了更高级一些的云原生语言YLang,用于发现在主机层面,Webshell被执行时调用栈状态,基于火焰图展示和动态跟踪技术, 不过YLang还是过于复杂,门槛高,就同时提供了YSQL的实现描述,用YSQL去查询主机层面的审计数据(调用栈、生成火焰图)。这样将7层数据的审计与主机层的审计结合在一起发现威胁。

即使从7层和主机层面发现威胁,考虑到也可能不是够的。将OpenResty的访问数据与日志,生成数据样本,给出基于神经网络算法的自动化威胁分析方案,同时补充了基于正则、语义分析的威胁发现思路描述。

以上这些考虑,没有更多的在书中体现,也是您问到了,借机会给出回答。非常感谢大家的关注和提问,如果想深入交流更多细节,可以关注公众号:“糖果的实验室”,可以留言给我们,多谢了!