根据实现方式的不同WAF可分为什么
根据实现方式的不同WAF可分为:
单机WAF:如ModSecurity、Naxsi等开源WAF模块,或者使用Lua扩展的Web服务器功能,直接部署在每一台目标Web服务器上,并整合到Web服务器软件里面,如图13-33所示。该模式支持HTTPS。如果Web服务器有多台,需要在每一台目标服务器上部署及配置。这种单机类型的WAF,比较适合个人站长使用(服务器数量少),不太适合大中型企业的规模化部署(试想,服务器数十万或数百万,如何进行管理和维护)。
中小型企业自建的扩展WAF:采用扩展Web服务器功能,配合云端管理政策的模式,如基于Nginx + Lua扩展实现,需要在每一台目标Web服务器上部署,云管理的实现方式就比较多样化了。对于每一台需要保护的Web服务器来说,需要单独安装和配置扩展包。在规则的维护上,这种方案比单机模式简化很多,管理员使用浏览器进行管理维护,在不新增Web服务器的情况下,还是比较方便的。
云WAF:使用云服务商或第三方WAF服务,工作在反向代理模式,通常和CDN一起使用。云WAF为了解密HTTPS流量,通常需要采用keyless方案,这种方案不需要租户交出自己网站的私钥,而是在用户和云WAF之间启用另外一张证书,在云WAF到真实服务器之间使用原来的证书。keyless方案是一种在安全和效率之间平衡的折中方案,适合对安全性要求不是很高的场景。
硬件WAF网关:工作在网络层的硬件WAF,一般串行或旁路接入网络,直接对网络层IP包进行解包,默认不支持HTTPS。
软件实现的WAF应用网关:应用网关(Application Gateway),或称为反向代理服务器,早期只有统一接入、反向代理、负载均衡等功能,但随着安全形势的严峻,应用网关也开始加入安全特性。最典型的安全特性,就是WAF以及CC攻击防御。加入安全特性的应用网关,充分利用了各个模块的优势,消除了传统WAF的缺点,通常整合证书管理、HTTPS统一接入、WAF等功能。与硬件WAF网关相比,软件实现的WAF网关除了可在自有机房部署,也可适用于云计算等场景下的部署。