Fastly Next-Gen WAF 的专利检测和阻止方法提供了广泛、高度准确的保护,无需进行调整。
Fastly 的下一代 WAF是市场上部署最灵活的 WAF,可以在本地、任何云、Fastly 边缘或两者的混合环境中部署。虽然我们可以在应用程序所在的任何地方保护它们,但组织更倾向于边缘部署,主要有四个原因:更快的部署和维护、远离源头的威胁缓解、固有的 DDoS(分布式拒绝服务)保护,以及在不增加不必要延迟的情况下扩展安全功能等的能力(图 1)。
Fastly 的边缘架构
图 1:Fastly 边缘部署架构
快速部署,简化维护
如果您无法在现有基础设施上安装软件,Fastly 的边缘部署是理想之选。只需几分钟,只需调用 API 即可通过 Fastly 网络路由流量并启用 WAF 检查。边缘部署还可以减少持续维护,因为所有更新都会自动进行,无需停机。
远离业务关键基础设施的威胁缓解
Fastly 的优势是指我们遍布全球的 100 多台现代服务器或接入点 ( POP ) 网络。借助 Tier 1 传输和固态硬盘 (SSD) 驱动的服务器,我们构建了一个现代网络,只需更少的硬件即可实现全面的全球覆盖(图 2)。
截至 2024 年 7 月 22 日的网络图
图 2:截至 2024 年 7 月的 Fastly 网络图
通过在边缘部署下一代 WAF,您可以在 Fastly 的服务器(而不是您的源基础设施)上扫描和抵御恶意请求。根据您的架构,在远离源头的地方抵御恶意威胁可以带来两个额外好处之一。对于主要在本地工作的客户,在边缘部署可以减少源基础设施的计算负载,限制对您的机器及其有限资源的任何影响。对于部署在云中的客户,它可能会节省成本,因为恶意请求不会由您的源处理,从而减少虚高的流量费用。
自动 DDoS 保护
在边缘部署可以带来我们网络的内置安全性和 DDoS 缓解优势(图 3)。
Fastly 应对 DDoS 的方法
图 3:Fastly 平台 DDoS 防护
截至 2024 年 6 月 30 日,Fastly 的网络 医院电子邮件列表 全球容量超过 330 Tbps,可吸收恶意的 3/4 层流量,以阻止常见攻击,如网络时间协议 (NTP)、域名系统 (DNS) 和其他放大/反射。我们还构建了平台安全功能,以动态减少第 7 层的不需要的流量:
Fastly 仅传输相关流量,并在非 http/https 流量到达您的服务之前自动丢弃它。
Fastly 使用专有技术智能地阻止大规模第 7 层 DDoS 攻击。当遭受复杂攻击时,我们的属性揭秘技术可快速从网络流量中提取准确的指纹以进行缓解。它从我们网络上的入站请求中提取元数据,并考虑流量的特征,如第 3 层和第 4 层标头、TLS 信息、第 7 层详细信息等。借用 AI 的概念,它系统地提取与攻击量相匹配的流量形状和数量元素,以识别最佳指纹并开始缓解。
通过在边缘部署获得的强大基础设施使您能够即时按需扩展流量容量,即使在产品发布、病毒式营销活动或容量攻击等高峰流量事件期间也是如此。
精细流量控制
所有边缘部署都可以访问我们网络底层 Varnish 配置语言 (VCL) 的子集。VCL 是 Fastly 用来自动定义如何访问、缓存和传递传入请求和传出响应的领域特定语言。可自定义的 VCL 提供细粒度控制,使您的开发人员能够优化性能并实现定制的安全结果。