隨著網(wǎng)站越來越多元化，內(nèi)容或資訊都會不定期更新，但每個(gè)新增的頁面或連接，都有可能帶來新的漏洞。因此，網(wǎng)站的安全性檢測不論在上線前或是每次更新時(shí)，都必須進(jìn)行網(wǎng)站漏洞檢測工作。

[[141718]]

然而對大型網(wǎng)站來說，手工網(wǎng)站檢測，對使用者是極大的負(fù)擔(dān)，尤其是目前網(wǎng)站動(dòng)輒數(shù)百至數(shù)千頁，以人工方式對每一頁進(jìn)行徹底的安全檢測近乎不可能，此時(shí)，方便、自動(dòng)化的Web檢測工具就粉墨登場了。

但是，隨著網(wǎng)站規(guī)模日益擴(kuò)大，細(xì)致的遍歷掃描與web掃描器的性能成為了先天性的矛盾：網(wǎng)站內(nèi)容越多，掃描時(shí)間越長，對掃描器的性能也要求越高。

[[141719]]

那么若想提升Web掃描器的性能同時(shí)又不放棄精度，原始做法主要有兩個(gè)：一是無限制的升級掃描器的硬件，但這種做法既不經(jīng)濟(jì)也不可能;二是實(shí)現(xiàn)Web掃描的分布式部署，但子節(jié)點(diǎn)的負(fù)載分布不均又成了問題。

既然原始做法已經(jīng)不好用了，誰可以擔(dān)此大任呢?太一星晨產(chǎn)品總監(jiān)于振波指出，要實(shí)現(xiàn)高性能Web掃描，依靠負(fù)載均衡技術(shù)與分布式掃描部署相結(jié)合，這已成為了安全圈里的主流趨勢。

為此，太一星晨技術(shù)工程師們還以一套經(jīng)典的5W1H分析法，解析了負(fù)載均衡技術(shù)如何在兼顧資源最優(yōu)化的同時(shí)扭轉(zhuǎn)乾坤的。

Who

在Web安全戰(zhàn)役中，關(guān)鍵主角自然是Web掃描器與負(fù)載均衡!

When

Web掃描器開始掃描工作時(shí)，最核心的工作模塊是web掃描引擎，它作為一個(gè)支持多任務(wù)的服務(wù)運(yùn)行，與產(chǎn)品端通過網(wǎng)絡(luò)通信進(jìn)行互動(dòng)。產(chǎn)品通過向web掃描引擎發(fā)送一條消息來創(chuàng)建、暫停、停止或者續(xù)掃一個(gè)任務(wù)，而web掃描引擎則通過消息告訴外界自己的狀態(tài)，已經(jīng)爬取得鏈接和已經(jīng)檢測到的漏洞。

當(dāng)需要對多個(gè)大規(guī)模的web網(wǎng)站定時(shí)掃描時(shí)，一臺獨(dú)立的Web 掃描器負(fù)載太多容易導(dǎo)致分配不均，無法滿足掃描性能要求，外來威脅容易趁虛而入，此時(shí)就需要引入負(fù)載均衡技術(shù)，實(shí)現(xiàn)多站點(diǎn)任務(wù)的批量掃描。

What

在這一場戰(zhàn)役中，首先要清楚這場戰(zhàn)爭目的是什么：負(fù)載均衡技術(shù)幫助Web掃描器在對站點(diǎn)進(jìn)行漏洞檢測和評估時(shí)，達(dá)到最大化資源的使用率，促使Web掃描器在短時(shí)間內(nèi)完成掃描任務(wù)，從而保障Web站點(diǎn)的安全。

Why

分布式部署：這是最常用也是最靠譜的解決辦法，利用多臺Web掃描器同時(shí)分擔(dān)掃描任務(wù)。但是在實(shí)際部署環(huán)境中，子節(jié)點(diǎn)的掃描器性能差異，卻往往導(dǎo)致父節(jié)點(diǎn)管理的多個(gè)子節(jié)點(diǎn)在某一時(shí)刻經(jīng)常負(fù)載不均衡。

此時(shí)通過專業(yè)的負(fù)載均衡產(chǎn)品可以替代父節(jié)點(diǎn)，解決這個(gè)弊端。

* ADC可依賴多種健康檢查方法以及負(fù)載分擔(dān)算法，幫助父節(jié)點(diǎn)有效監(jiān)控子節(jié)點(diǎn)的工作狀態(tài)，并隨時(shí)調(diào)控。

* 對于子節(jié)點(diǎn)來說，不同型號乃至不同品牌的Web掃描器都可以共同使用，最大的節(jié)約了以往資源。

Where

Web掃描器的分布式部署方案中，父節(jié)點(diǎn)統(tǒng)籌管理子節(jié)點(diǎn)，并將多個(gè)掃描任務(wù)分配至各子節(jié)點(diǎn)執(zhí)行，并收集子節(jié)點(diǎn)進(jìn)行狀態(tài)和任務(wù)掃描報(bào)告等。

在父節(jié)點(diǎn)和子節(jié)點(diǎn)之間加入負(fù)載均衡設(shè)備，一旦某子節(jié)點(diǎn)出現(xiàn)故障或者超出負(fù)荷，父節(jié)點(diǎn)可以繞過故障子節(jié)點(diǎn)，不再給其分配任務(wù)，利用其它正常子節(jié)點(diǎn)繼續(xù)執(zhí)行任務(wù)。

How

前面的5W把前因后果全弄清楚后，下面就可以讓負(fù)載均衡發(fā)揮它的作用了!

主要步驟如下：

1.任務(wù)獲?。菏占a(chǎn)品端分配的各個(gè)掃描任務(wù)的相關(guān)信息(掃描策略、執(zhí)行時(shí)間等)。

2. 引擎狀態(tài)反饋：收集和維護(hù)各掃描引擎節(jié)點(diǎn)的資源使用情況(CPU、內(nèi)存及任務(wù)進(jìn)度等)。

3. 任務(wù)調(diào)度：根據(jù)各掃描引擎節(jié)點(diǎn)的負(fù)載情況，計(jì)算各節(jié)點(diǎn)的權(quán)重，將產(chǎn)品端分配的掃描任務(wù)劃分成不同的子任務(wù)，按照權(quán)重分配給不同的節(jié)點(diǎn)。

4. 任務(wù)信息反饋：回收各掃描引擎執(zhí)行掃描任務(wù)的結(jié)果，匯總后轉(zhuǎn)交至產(chǎn)品端。

毫無疑問，在復(fù)雜的攻擊形態(tài)以及層出不窮的新安全威脅面前，負(fù)載均衡技術(shù)有效地配合Web掃描器的分布式部署，解決了在大規(guī)模web站點(diǎn)下掃描器無法獨(dú)立完成的問題，真正實(shí)現(xiàn)了“急速掃描、立體防御”!