应用网关防火墙有哪些优缺点
根据实现技术不同,各有优缺点:
旁路式:
优点:部署简单讲waf设备通过一根网线直接连接到核心交换机上,就可以完成部署。第二个优点就是不影响网上,旁路主要是通过实时的从交换机上复制数据包,然后进行分解、分析有无攻击行为。
缺点:无法独立完成防御功能,旁路式的实现方式无法完成对攻击行为阻断,必须通过防火墙的协助才能完成阻断功能。丢包的概率较高,丢包率取决于当前网络流量和WAF分析的效率:单位流量越大WAF处理速度越慢,丢包率就越大。无法支持HTTPS,不同的网站所采用的key都是不同的,所以旁路式的WAF是无法解析HTTPS数据包。
串联式
优点:部署简单顾名思义,申联就是串联于网关处。可主动防御,由于是申联的方式接入,所以所有访问的数据都要先经过它的过滤器才可到达目的地。无丢包问题,串联的方式决定了不可能存在丢数据的问题,
缺点:数据流量成为瓶颈,网络上的所有的数据包都要经过WAF,所以WAF支持带宽就成为了现有网络的最大带宽。不支持HTPS,同样无法解决HTTPS数据包。
代理式
优点:成本低,实现成本低不需要硬件设备的投入,节省开支。可以实现主动防御,和串联式硬件相同,只不过串联的位置不同,一个是网关处,一个是网络和服务器之间。无丢包问题,该模式的防火墙不存在丢包的问题。
缺点:部署复杂,要在服务器上完成代理软件,然后设置代理的端口和服务器的端口,dial先获取请求然后再转发服务器。不支持HTTPS,该模式的防火墙不支持HTTPS数据包的解析。
嵌入式
优点:实现成本低,同样无硬件的开支。可实现主动防御,工作于服务器内部,可以在数据处理之前进分析过滤。无丟包问题,串联的特点决定了无丢包问题。支持HTTPS,由于系统工作于服务器内部,所以很方便可以获取到解密之后的数据包,对HTTPS的支持也就水到渠成了。
缺点:部署复杂,系统的部署要根据操作系统和服务器来进行相应的处理。