第1个回答 2016-11-29
WAF产品按照形态划分可以分为三种,硬件、软件及云服务。软件WAF由于功能及性能方面的缺陷,已经逐渐被市场所淘汰。云WAF近两年才刚刚兴起,产品及市场也都还未成熟。与前两种形态相比,硬件WAF经过多年的应用,在各方面都相对成熟及完善,也是目前市场中WAF产品的主流形态。 既然是硬件产品,网络部署对于用户来说,是一个必须要考虑的问题。纵观国内外的硬件WAF产品,通常一个产品会支持多种部署模式。这也给用户在购买或部署产品时带来了困惑。以下将对硬件WAF几种常见的部署模式做一个简单介绍,希望可以帮助广大用户解除困惑。 ·WAF部署位置 通常情况下,WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域,也可以与防火墙或IPS等网关设备串联在一起(这种情况较少)。总之,决定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。 · WAF部署模式分类 根据WAF工作方式及原理不同可以分为四种工作模式:透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式,通常需要将WAF串行部署在WEB服务器前端,用于检测并阻断异常流量。端口镜像模式也称为离线模式,部署也相对简单,只需要将WAF旁路接在WEB服务器上游的交换机上,用于只检测异常流量。 WAF 几种部署模式的优缺点 工作模式 优缺点 透明代理模式(也称网桥代理模式) 这种部署模式对网络的改动最小,可以实现零配置部署。另外通过WAF 的硬件 Bypass 功能在设备出现故障或者掉电时可以不影响原有网络流量,只是 WAF 自身功能失效。缺点是网络的所有流量(HTTP 和非 HTTP )都经过 WAF 对 WAF 的处理性能有一定要求,采用该工作模式无法实现服务器负载均衡功能。 反向代理模式 这种部署模式需要对网络进行改动,配置相对复杂,除了要配置WAF 设备自身的地址和路由外,还需要在 WAF 上配置后台真实WEB 服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话(没经过 NAT 转换)那么通常还需要改变原有服务器的 IP 地址以及改变原有服务器的 DNS 解析地址。采用该模式的优点是可以在 WAF 上同时实现负载均衡。 路由代理模式 这种部署模式需要对网络进行简单改动,要设置该设备内网口和外网口的 IP 地址以及对应的路由。工作在路由代理模式时,可以直接作为 WEB 服务器的网关,但是存在单点故障问题,同时也要负责转发所有的流量。该种工作模式也不支持服务器负载均衡功能。 端口镜像模式 这种部署模式不需要对网络进行改动,但是它仅对流量进行分析和告警记录,并不会对恶意的流量进行拦截和阻断,适合于刚开始部署WAF 时,用于收集和了解服务器被访问和被攻击的信息,为后续在线部署提供优化配置参考。这种部署工作模式,对原有网络不会有任何影响。 本回答被网友采纳