引言
在现代Web应用防护体系中,WAF(Web Application Firewall)通常以反向代理模式部署在源站前端,承担流量清洗、攻击检测和转发职责。对于多运营商接入的业务系统,一个常见的架构选择是:将WAF集中部署在某一个运营商的机房内(例如电信),源站与该WAF同机房或同城部署。此时,来自不同运营商(电信/移动/联通)的客户端流量,会经历截然不同的网络路径与延迟表现。
本文以 "客户端 → WAF(电信) → 源站(电信)" 为统一后端架构,对比同网(电信)与异网(移动)客户端访问时的网络流程、关键瓶颈及延迟差异。
基础架构与假设条件
- WAF部署位置:中国电信某城市机房(例如上海电信)
- 源站位置:与WAF同机房或同城电信机房(内网或极短专线连接)
- 客户端A(同网):中国电信宽带用户(例如南京电信)
- 客户端B(异网):中国移动宽带用户(例如南京移动)
- WAF与源站之间:通常为内网或高质量专线,延迟可忽略(<1ms)或固定极低值
为便于分析,下文所有延迟数据均为典型同城场景的估算值,实际因地域、互联点拥塞程度会有波动。
典型网络流向对比
场景一:同网访问(电信 → 电信WAF → 电信源站)
路径示意:
客户端(电信) → 电信城域网 → 电信骨干网 → WAF(电信) → 源站(电信)
详细流程:
- 客户端发起DNS解析,返回WAF的电信公网IP。
- 数据包在电信网络内部完成路由,无需跨运营商。
- WAF经过检测(SSL卸载、规则匹配等)后,通过内网或短链路将请求转发至源站。
- 源站响应原路返回。
网络流向特点:
- 全程单一运营商网络,无跨网交换节点。
- 路径可控、跳数少、无排队瓶颈。
- WAF与源站之间的内网链路延迟极低(通常 < 1ms)。
场景二:异网访问(移动 → 电信WAF → 电信源站)
路径示意:
客户端(移动) → 移动城域网 → 移动骨干网 → 电信-移动互联点(通常北上广) → 电信骨干网 → WAF(电信) → 源站(电信)
详细流程:
- 客户端发起DNS解析,依然返回WAF绑定的电信IP地址(注意:此处无运营商智能解析)。
- 移动客户端发出的数据包,首先在移动网络内部路由至最近的电信-移动互联点(如上海、北京、广州)。
- 在互联点完成跨网交换,可能经历队列排队 和路由策略检查。
- 进入电信网络后,路由至WAF机房。
- WAF处理后转发至源站(内网延迟不计)。
- 响应报文需原路返回,再次经历跨网交换。
网络流向特点:
- 必须经过至少一次跨网交换(实际是来回两次)。
- 路径中存在不可控的排队与绕路,延迟波动大。
- 若WAF部署位置与客户端不在同一互联点城市,还会增加额外的地理绕路。
时序图详解
场景一:同网访问(电信 → 电信WAF → 电信源站)
场景二:异网访问(移动 → 电信WAF → 电信源站)
横向对比图
延迟阶梯图
延迟构成与数值对比
延迟拆分对比(同城场景,单位:ms)
| 延迟阶段 | 同网(电信→电信WAF) | 异网(移动→电信WAF) | 说明 |
|---|---|---|---|
| 客户端 → 运营商接入 | 1-2 | 1-2 | 差异不大 |
| 城域网+骨干网转发 | 3-8 | 5-15(移动侧) | 异网可能绕路 |
| 跨网交换排队 | 无 | 10-50(甚至更高) | 关键差异点 |
| 跨网后进入电信网络 | 不适用 | 5-10 | 额外一跳 |
| WAF检测处理 | 2-5 | 2-5 | 相同 |
| WAF → 源站(内网) | <1 | <1 | 相同 |
| 总计(单向) | 6-16 | 23-83 | |
| RTT往返 | 12-32 | 46-166 |
典型体验差异(同城晚高峰)
| 指标 | 同网 | 异网 |
|---|---|---|
| TCP三次握手耗时 | 10-25ms | 50-150ms |
| 首个HTTP响应时间(TTFB) | 15-30ms | 80-250ms |
| 丢包率 | 极低(<0.1%) | 可能0.5-2% |
| 传输稳定性 | 平稳 | 抖动明显 |
异网场景下,跨网排队 和 可能的回程绕路 是延迟与不稳定性的主要来源。
WAF架构下的特殊问题
同网访问的优势保持
- WAF的检测延迟(2-5ms)在整体链路中占比极低,几乎不影响体验。
- 内网转发使得源站位置对客户端完全透明。
异网访问的额外代价
- 无法利用WAF的运营商优势:WAF即使部署在电信,也无法避免客户端到WAF这一段跨网延迟。
- 双向跨网放大问题:每一次请求和响应都要支付两次跨网代价(请求跨一次,响应跨一次)。
- 长连接与短连接差异 :
- 短连接(如HTTP/1.0):每个请求都重新TCP握手,跨网代价被频繁支付。
- 长连接(如HTTP/1.1 keep-alive, HTTP/2):一次TCP握手后复用连接,后续请求只支付数据传输的跨网延迟(仍需跨网排队),比短连接略好但依然显著差于同网。
多线BGP接入 vs 单线WAF
如果WAF支持多线BGP接入(同时接入电信、移动、联通),可以做到:
- 移动客户端解析到移动IP,访问路径变为"移动→移动→WAF多线入口",避免了公网跨网交换。
- 但此时WAF后端到源站仍然可以保持内网或专线。
- 代价:BGP带宽成本远高于单线,且需要WAF服务商支持。
实测验证方法
可以使用以下工具自行验证:
bash
# 查看路由跳数和跨网点
traceroute <WAF_IP>
# 测量RTT和抖动
ping -c 100 <WAF_IP>
# 测试HTTP延迟(TTFB)
curl -w "@curl-format.txt" -o /dev/null -s https://<WAF_DOMAIN>其中 curl-format.txt 内容:
time_namelookup: %{time_namelookup}\n
time_connect: %{time_connect}\n
time_appconnect: %{time_appconnect}\n
time_pretransfer: %{time_pretransfer}\n
time_redirect: %{time_redirect}\n
time_starttransfer: %{time_starttransfer}\n
----------\n
time_total: %{time_total}\n对比从电信和移动两条线路访问同一WAF域名的结果,time_connect 和 time_starttransfer 的差距基本就是跨网代价。
架构优化建议
针对"WAF单线部署"带来的异网访问问题,可考虑以下优化方案:
| 方案 | 原理 | 成本 | 效果 |
|---|---|---|---|
| WAF多线BGP接入 | WAF同时接入三网,客户端智能解析到同网IP | 带宽成本高 | 彻底消除跨网延迟 |
| 前置全站加速/动态CDN | 在WAF前方放置支持多线接入的加速层 | 额外CDN费用 | 大幅缓解,但增加一跳 |
| 客户端网络类型判断 | 移动客户端引导至移动接入点(如有备用入口) | 开发成本 | 部分解决,依赖业务改造 |
| 专线或SD-WAN(企业场景) | 客户侧使用运营商专线接入 | 成本极高 | 完美解决,适用于企业客户 |
对于绝大多数Web业务,"WAF多线BGP接入" 是平衡成本与体验的推荐方案;若业务对延迟极度敏感(如游戏、交易系统),则应优先保障全链路同运营商接入。
结论
- 同网访问(电信→电信WAF→电信源站) 是网络性能最优场景,延迟稳定在20-30ms RTT级别,WAF引入的额外开销极小。
- 异网访问(移动→电信WAF→电信源站) 会因必经的跨网交换引入明显的额外延迟(通常50-150ms RTT),且波动大、丢包风险高。
- 跨网延迟的核心来源 不是光信号传播时延,而是运营商互联点的队列排队 与路由策略导致的绕路。
- 对于依赖WAF防护且面向多运营商用户的服务,建议采用多线BGP接入WAF,或在前端叠加多线加速层,避免将跨网问题暴露给最终用户。
网络架构的选型,本质上是在成本、复杂性、用户体验之间寻找平衡。理解跨网代价,才能做出更合理的决策。