# WAF/NFW 延迟测试报告> AWS WAF 和 Network Firewall 对 API 延迟的影响测试---## 一、NFW (Network Firewall) 测试### 1.1 测试背景| 项目 | 说明 | |------|------| | **目标接口** | `https://api.binance.com/api/v3/time` | | **测试规模** | 3k / 30k / 240k 请求 | | **对比维度** | 不过防火墙 vs 过防火墙 |### 1.2 平均 & 中位延迟(稳定性)| 指标 | 不过防火墙 | 过防火墙 | 延迟增量 | |------|-----------|---------|----------| | **平均延迟** | 6.7 ~ 7.5 ms | 8.7 ~ 10.1 ms | **+2 ~ 3 ms** | | **P50** | 6.9 ~ 7.3 ms | 8.7 ~ 9.8 ms | **+1.8 ~ 2.5 ms** |**结论**:防火墙路径引入稳定、可预期的**固定延迟 2-3ms**### 1.3 高分位延迟(P95 / P99,SLA 关键指标)| 指标 | 不过防火墙 | 过防火墙 | 延迟增量 | |------|-----------|---------|----------| | **P95** | 8.4 ~ 8.6 ms | 10.8 ~ 12.2 ms | **+2 ~ 4 ms** | | **P99** | 11.4 ~ 13.0 ms | 14.6 ~ 15.5 ms | **+2 ~ 3 ms** |**结论**: - 最大延迟变大 - 对延迟敏感业务(交易/行情)存在明显影响### 1.4 极端尾延迟(最大值)| 场景 | 最大延迟 | |------|---------| | 不过防火墙 | ~220 ~ 240 ms | | 过防火墙 | **最高 1637 ms (1.6 秒)** |**结论**:过防火墙场景出现数量级**更高的延迟波动**### 1.5 NFW 测试结论> 防火墙路径引入约 **2-3ms 的稳定延迟**属于合理成本,但秒级尾延迟表明存在慢路径风险,应避免将交易或时间敏感流量直接置于该路径之上。### 1.6 NFW 测试数据``` 不过防火墙 ================= 统计结果 1================= [https://api.binance.com/api/v3/time] 样本数:3000 平均: 7.53 ms, P50: 7.26 ms, P95: 8.57 ms, P99: 11.63 ms 最小: 6.16 ms, 最大: 243.91 ms ================= 统计结果 2================= [https://api.binance.com/api/v3/time] 样本数:30000 平均: 7.41 ms, P50: 7.14 ms, P95: 8.61 ms, P99: 12.96 ms 最小: 5.76 ms, 最大: 223.59 ms ================= 统计结果 3================= [https://api.binance.com/api/v3/time] 样本数:240000 平均: 6.76 ms, P50: 6.95 ms, P95: 8.48 ms, P99: 11.42 ms 最小: 3.49 ms, 最大: 237.40 ms过防火墙 ================= 统计结果 1================= 平均: 10.13 ms, P50: 9.76 ms, P95: 12.25 ms, P99: 15.47 ms 最小: 8.74 ms, 最大: 113.09 ms ================= 统计结果 2================= 平均: 8.97 ms, P50: 8.69 ms, P95: 10.84 ms, P99: 14.99 ms 最小: 7.05 ms, 最大: 230.40 ms ================= 统计结果 3================= 平均: 8.73 ms, P50: 8.91 ms, P95: 10.80 ms, P99: 14.59 ms 最小: 4.91 ms, 最大: 1637.67 ms ```---## 二、WAF (Web Application Firewall) 测试### 2.1 测试背景| 项目 | 说明 | |------|------| | **目标接口** | 未接入 WAF: `https://api-qa.example.com/api/v1/time` | | | 接入 WAF: `https://api-qa-waf.example.com/api/v1/time` | | **测试规模** | 小样本: 300 请求 / 大样本: 150,000 请求 | | **对比维度** | 未接入 WAF (ALB) vs 接入 WAF (ALB + WAF) |### 2.2 平均 & 中位延迟(稳定性)| 指标 | 未接入 WAF | 接入 WAF | 延迟增量 | |------|-----------|---------|----------| | **平均延迟** | 5.81 ~ 7.20 ms | 5.99 ~ 8.08 ms | **+0.2 ~ 0.9 ms** | | **P50** | 6.32 ~ 7.09 ms | 6.69 ~ 7.85 ms | **+0.3 ~ 0.8 ms** |**结论**:WAF 引入的平均延迟非常小,**延迟增量 < 1ms**,整体可忽略### 2.3 高分位延迟(P95 / P99,SLA 关键指标)| 指标 | 未接入 WAF | 接入 WAF | 延迟变化 | |------|-----------|---------|----------| | **P95** | 7.51 ~ 7.53 ms | 7.84 ~ 8.98 ms | **+0.3 ~ 1.4 ms** | | **P99** | 8.87 ~ 9.32 ms | 8.80 ~ 14.04 ms | 小样本略升 / 大样本持平或略优 |**结论**: - P95 有轻微抬升,但幅度有限 - P99 在大样本下未出现系统性恶化### 2.4 极端尾延迟(最大值)| 场景 | 最大延迟 | |------|---------| | 未接入 WAF | ~223 ms | | 接入 WAF | ~221 ms |**结论**: - 最大延迟量级基本一致 - 未观察到 WAF 引入秒级或数量级抖动### 2.5 WAF 测试结论> 接入 WAF 后平均延迟增加**小于 1ms**,未显著放大尾延迟或抖动### 2.6 WAF 测试数据``` ================= 统计结果 1================= [https://api-qa.example.com/api/v1/time] 样本数:300 平均: 7.20 ms, P50: 7.09 ms, P95: 7.51 ms, P99: 8.87 ms 最小: 6.78 ms, 最大: 30.20 ms[https://api-qa-waf.example.com/api/v1/time] 样本数:300 平均: 8.08 ms, P50: 7.85 ms, P95: 8.98 ms, P99: 14.04 ms 最小: 6.96 ms, 最大: 32.96 ms================= 统计结果 2================= [https://api-qa.example.com/api/v1/time] 样本数:150000 平均: 5.81 ms, P50: 6.32 ms, P95: 7.53 ms, P99: 9.32 ms 最小: 2.57 ms, 最大: 223.68 ms[https://api-qa-waf.example.com/api/v1/time] 样本数:150000 平均: 5.99 ms, P50: 6.69 ms, P95: 7.84 ms, P99: 8.80 ms 最小: 3.27 ms, 最大: 220.60 ms ```---## 三、对比总结| 指标 | NFW | WAF | 建议 | |------|-----|-----|------| | **平均延迟增量** | +2~3 ms | <1 ms | WAF 影响更小 | | **P99 延迟增量** | +2~3 ms | <1 ms | WAF 更稳定 | | **极端尾延迟** | 可能出现 1.6s | 无明显影响 | NFW 有风险 | | **适用场景** | 网络层安全防护 | 应用层安全防护 | 按需选择 |### 3.1 建议| 场景 | 建议 | |------|------| | **延迟敏感业务**(交易、行情) | 避免经过 NFW,WAF 影响可接受 | | **普通业务** | NFW + WAF 组合使用 | | **安全要求高** | 必须使用 WAF + NFW 双重防护 |