我们使用nginx贯穿了我们的网络,做前线web服务,代理,流量过滤。在某些情况下,我们已经扩充了nginx上我们自己的模块的核心C代码,但近期我们做了一个重大举措,与nginx结合使用lua
差点儿所实用lua写的我们的一个项目是新的cloudflare WAF。这个我们另有博客。http://blog.cloudflare.com/heuristics-and-rules-why-we-built-a-new-old-waf
Lua WAF使用nginx Lua模块来嵌入Lua代码,运行Lua code就像nginx 正常handling阶段的代码一样。WAF的整个运行实际上由下列nginx配置控制:
location / {
set $backend_waf "WAF_CORE";
default_type 'text/plain';
access_by_lua '
local waf = require "waf"
waf.execute()
';
}
这个access_by_lua指令告诉nginx,运行这些Lua code作为一个access 阶段的handler。然后,WAF中的Lua代码决定是否阻断请求,或将请求传递给原始server去处理。Waf模块通过调用ngx.exit()来终结,响应码或者为200(nginx继续处理),或者为403(阻断请求)
全部真实的WAF工作被用lua写的waf模块做了。实现这个WAF,我们希望可以读取为流行mod_security开源WAF开发的现有WAF配置和支持我们自己的简单的WAF语言。该mod_security的语言已经集成到了Apache配置文件,这样导致它是有点难以阅读,但也有一个庞大的规则使用它(如流行的OWASP规则集)撰写,我们希望可以在本机执行。
在写新的WAF之前,我们实际上还执行了Apache,仅仅是为了mod_security,但这个组合缓慢,繁琐,且不能随着CloudFlare的不断增长的业务扩展。我们已经做了妥协,仅仅是为了保持它执行。
一个用mod_security本地语言写的规则像下列所看到的,(这是一个我们落实过的真实客户的有点模糊的版本号)。第一个版本号用mod_security版本号书写,第二个等价于cloudflare自己的规则语言书写。
SecRule REQUEST_HEADERS:User-Agent "@beginsWith DataStore/"
"id:100000,phase:0,t:none,deny,chain,msg:'DataStore Attack'"
SecRule REQUEST_METHOD "@streq GET" "chain"
SecRule REQUEST_URI "\/\?-?\d+=-?\d+" "" rule 100000 DataStore Attack
REQUEST_HEADERS:User-Agent has-prefix DataStore/ and
REQUEST_METHOD is GET and
REQUEST_URI matches \/\?-?\d+=-?\d+
deny
我们将开放自己定义规则来拓展更广泛的能力,无论是用mod_security还是cloudflare风格来写waf规则。最重要的是cloudflare的WAF语言不是Lua,虽然其实这个WAF是用Lua实现的。
实际上,这个WAF首先通过将无论是用mod_security还是cloudflare风格书写的规则转化成通用的JSON格式,这个JSON格式编码了规则,而且添�了一些WAF UI的额外的信息(比如这个规则是否使能)
这个JSON格式,然后编译成WAF运行的Lua程序。这个编译步骤同意我们支持不同的输入语言(像以上说的两种),而且性能得到优化,这样WAF运行的更快。
举例说明,编译器运行下面任务:
- 子句排序,这样当一个子条款不符合时,规则能够高速跳过
- 正則表達式的优化和简化
- 运算符更换,这样更快的运算符(比方更简单的字符串匹配)用在可能的地方
- 关于WAF执行的线索,关于是否宏扩展是必要的。
- 全局优化,如识别反复使用同样的字符串或变量,并确保他们仅仅计算一次
- Lua的优化,比如使用全局函数的本地引用
上面的规则,结果转化为例如以下Lua代码:
if waf_begins(waf, v3_6, '3_6', t3_1, '3_1', 'DataStore/', false) then
waf.vars['RULE']['ID'] = '100000'
if waf_eq(waf, v3_7, '3_7', t3_1, '3_1', 'GET', false) then
if waf_regex(waf, v3_4, '3_4', t3_1, '3_1', [=[\/\?-?\d+=-?\d+]=], false, nil, false) then
waf_activate(waf, rulefile)
waf_msg(waf, 'DataStore Attack')
waf_deny(waf, rulefile)
end
end
end
生成的代码难以阅读,由于它本质上是WAF的汇编语言,并且是自己主动生成的。Waf执行实现了像waf_begins, waf_eq, and waf_regex这些用于规则匹配的函数。这些函数本身是被高度优化的。
总的执行目标是,在真实环境执行时,WAF做阻止/通过决定的时间的中位数小于1ms。
WAF执行的优化,来自于用一个有行级时序信息的測试工具測试WAF的性能,来自于在带有很具体的基于systemtap的工具的cloudflare的网络中执行WAF。
为了在測试环境得到行级时序信息,我们写了一个小的行级的代码分析器,在我们执行一个请求測试集时使用。这个分析器,叫做lulip,是一个开源项目。它输出哪些行被调用的最频繁,哪些行消耗了最多的执行时间这些信息。
比如,这儿是一个简化的输出的版本号:
file:line count elapsed (ms) line
wr.lua:1129 2 822.455 hash = ngx_sha1_bin(value)
wr.lua:1172 428 470.849 captures, err = ngx_re_match(v, p)
wr.lua:1197 3762 207.487 x = string_find(v, f)
wr.lua:212 157 154.386 string_gsub(v, "//([^/]+)//", "%1")
wr.lua:1196 3788 87.475 for i=1,g() do
wr.lua:1158 1563 52.906 if not f() then
它显示了一个ngx_sha1_bin(实际上是一个对ngx.shal_bin函数的本地的的引用)被调用了2次,可是花费了823毫秒。第二个最耗时的行是第1172行,总共花了471号码,被调用了428次。使用这些细节信息,我们可以优化指定的热点代码。
来自systemtap或者堆栈跟踪的信息反馈到我们自己的收录引擎,分析它并自己主动生成火焰图,这展示了代码在哪里执行。 将鼠标停留在不论什么部分,将给出不论什么部分的代码花费时间的百分比。
在早期的WAF的优化,火焰图高速显示闭包的广泛使用导致缓慢,因为它们的花费在LuaJIT里。编译器的改动移除了它们的使用。
从同样的信息生成的还有一种视图显示一个函数中花费(忽略它本身调用的不论什么函数)的总时间。这使得能高速识别热点函数。在这里,能够非常easy地看到,正則表達式处理和串匹配是最昂贵的操作(这并不奇怪,由于这就是WAF做什么,主要是)。
检查这些跟踪信息,我们决定改善LuaJIT开源项目是值得赞助的。
优化WAF最关键的是两件事:可反复的測试数据和工具检查执行的代码。火焰图和lulip的结合意味着通过精确的检查时间花在哪里能够让WAF性能有一个巨大的飞跃。规则编译器的使用意味着优化能够迅速的应用到全部须要的规则上。不用去推測哪里是慢的:測量它!!
生成的代码大量使用局部变量(当中有很多是由编译器自己主动生成)和内存化。我们还使用Lua 字节码的nginx Lua的缓存,以加快自己定义规则的载入,一个两阶段的内存缓存,它使用lua_shared_dict和memcached作额外的载入加速。而我们的全球分布式数据存储意味着新的规则能够在几秒钟内铺开。
最后,衡量WAF在生产环境的运作,我们有一个全球的指标体系,收集cloudflare 网络全部部分的指标,这儿是一个图标显示了WAF几个小时的执行。它显示了处理一个请求的平均时间在毫秒内。这个waf执行每一个请求花费380us到480us之间,大大优于1ms的目标。
随着语言上各种优化,编译器和WAF核心表明我们拥有了一个非常快的纯Lua waf,这给了我们非常大的灵活性,而且执行在nginx核心里。这是又一个项目指出了Lua成为了一门极其优秀的嵌入式语言,在Lua里,我们能够写Cloudflare须要的各种可扩展的逻辑。
原文链接: http://blog.cloudflare.com/cloudflares-new-waf-compiling-to-lua 膜拜前淘宝大神 章亦春
-------- translate by 囧囧有神(814329735@qq.com)