JANUSEC应用网关1.0发布，提供一站式安全交付能力

背景简介

在2018年的时候，笔者发布了一篇：基于Golang打造一款开源的WAF网关，那会儿是JANUSEC应用网关刚刚在Github开源，构建了一款全新的应用网关的基本框架。初始版本虽然功能不多，却是按照《数据安全架构设计与实战》中介绍的最佳实战来进行打造的，或者说比《数据安全架构设计与实战》成书的时间还要早，因为我是先做开源产品，后来才写书的（他们的确一脉相承，都是过去十几年安全最佳实践经验的总结）。

随后，是近三年的不断改进，但版本长期维持在0.9.XX，只增加最后的小版本。有不少用户也呼吁尽快推出1.0版本，反馈说“我们已经在生产环境使用了，就是这个版本号看起来有点怪怪的”。是啊，版本号小于1，往往会让一部分用户产生不信任感，JANUSEC应用网关已经过了长期的实战检验，完全具备在生产环境部署的能力。于是在进一步优化细节后，我决定发布1.0，向用户传递信心，欢迎大家对比测试、部署使用（开源发布在 https://github.com/Janusec/janusec 或搜索 Janusec ）。

https://github.com/Janusec/janusec

应用网关是什么？

提到安全防御，大家可能会想到WAF、cc防护、IDS、防火墙、抗ddos等各种各样的安全产品，但安全从来都不是安全设备或产品的堆砌，用好各类产品，让他们真正发挥有效的作用，其实并不容易。

为了解决这个问题，业界各大企业也纷纷推出了自己的解决方案，如：

Google Access Proxy (核心模块Google Front-End, GFE)
Microsoft Azure应用网关
百度BFE
腾讯STGW+门神WAF

这些产品或解决方案，就是应用网关。

应用网关

应用网关，是跨不同安全域之间访问的应用层互通基础设施。

应用安全网关，是提供了安全能力的应用网关，通常来说，安全能力是应用网关不可缺少的一部分，所以应用网关、应用安全网关也常常混用。

应用网关如其说是一款产品，不如说是一站式安全能力与交付解决方案。它作为流量出入口，可以执行路由选择与负载均衡（含前端负载均衡和后端负载均衡），可以执行安全防护，可以用于全站HTTPS加密传输，还可以附加身份认证、访问控制、运维审计等安全能力。

JANUSEC解决了哪些痛点？

首先，很多企业内部网站往往由于各种各样的原因（比如人力不足、敏捷上线、过于信任内网等），缺乏认证机制，导致内网被渗透之后，这些网站对黑客来说毫无招架之力。

身份认证是一切信任的基础，JANUSEC应用网关可以协助业务将身份认证这个核心安全能力前置（或左移），附加到业务中去。JANUSEC v1.0.0提供了五种可选的身份认证机制：

企业微信扫码
钉钉扫码
飞书扫码
LDAP
CAS 2.0（协议）

网关身份认证

如果内部运营网站原本没有身份认证机制，这些认证机制可直接在应用网关上启用，而内部运营网站可以保持原样，不用任何改进。启用后，员工访问内部网站，会要求身份认证（跳转到指定的身份认证服务提供商），通过后才能访问后端网站。

其次，JANUSEC应用网关提供了WAF/CC防御。WAF方面，JANUSEC应用网关提供了一个可供用户自行配置规则的基础设施，并预置了常见的Web高危漏洞的拦截规则。与其他WAF相比，JANUSEC应用网关的WAF除了支持传统的单检查点的规则外，还支持多个检查点联动的组合规则，这让防御更加灵活。

Janusec WAF

CC防护方面，JANUSEC应用网关可与nftables联动，并创造性地使用了两道检测防线，分别针对快速CC、慢速CC（如故意放慢速度绕过检测的攻击工具）进行拦截。在2020年的一次实战对抗测试中，单节点普通PC服务器部署的JANUSEC应用网关，成功拦截近5000个IP的CC测试集群，并将发起攻击的IP资源池一网打尽（锁定预先配置的时间）。