突然讲镜像流量解析有一些突兀,那就大致讲一下为什么要做流量镜像吧。
目前公司的应用安全防火墙(WAF)基于日志做的拦截,日志来源于Nginx服务器的lua模块,对于Nginx性能有一定的损耗,加上系统解耦的需要。所以考虑用流量镜像的方式,部署单独的集群对日志进行处理,好处有下边几点:
1. 系统解耦;
2. 提高lua拦截模块性能;
3. 满足WAF业务更多的特殊需求,如攻击统计,展示,告警等;
镜像网络架构图如下:
测试环境有两台物理机部署了WAF,使用Nginx做反向代理,一台物理机部署Suricata做流量镜像解析。
Suricata的部署过程参考https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation,使用过程中也出现了一些小插曲,印象深刻的比如