卷八导读：流量安全防护

连接能力越强，暴露面也越大。服务一旦对全球开放，来的不只是用户，还有洪水般的垃圾流量，以及那些伪装得很体面的恶意请求。麻烦之处在于，攻击并不总是长着一张明显的坏脸：有的靠体量压垮带宽和连接表，有的在报文层面看起来完全合法，只是意图并不合法。于是问题很快就会分层。前者更像蛮力，要求在大网边缘尽早挡住；后者更像伪装，只有靠近应用语义时才看得出不对。两类威胁混在一起时，最容易产生错觉：仿佛只要规则足够多，就总能把坏流量挑出来。然而事情远没有这么轻巧。

DDoS 清洗和 WAF 看起来像两类产品，其实是在不同层面对同一件事做判断：哪些流量应该被当成服务对象，哪些流量只是来消耗系统。真正困难的地方，不是“有没有规则”，而是误杀与漏放之间根本不存在一条完美边界。拦得太狠，正常用户先被挡在门外；放得太松，攻击流量又会顺着入口一路钻进来。安全防护之所以难，不是因为没有手段，而是因为每一种手段都带着成本、误差和取舍。看到这里，判断标准也会变得比“能不能防住”更苛刻：防护是否足够早，是否足够准，是否在代价可接受的前提下仍然站得住。