@苏苏
2年前 提问
1个回答

WAF 部署模式分类有哪几种

X0_0X
2年前

WAF 部署模式分类主要有以下几种:

  • 透明代理模式 (也称网桥代理模式)

    透明代理模式的工作原理是,当 WEB 客户端对服务器有连接请求时,TCP 连接请求被 WAF 截取和监控。WAF 偷偷的代理了 WEB 客户端和服务器之间的会话,将会话分成了两段,并基于桥模式进行转发。从 WEB 客户端的角度看,WEB 客户端仍然是直接访问服务器,感知不到 WAF 的存在;从 WAF 工作转发原理看和透明网桥转发一样,因而称之为透明代理模式,又称之为透明桥模式。

  • 反向代理模式

    反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是 WAF,因此在 WAF 无需像其它模式 (如透明和路由代理模式) 一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到 HTTP 的请求报文后,将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给 WAF 设备,由 WAF 设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似,唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的服务器,所以透明代理工作方式不需要在 WAF 上配置 IP 映射关系。

    反向代理又分为两种模式,反向代理(代理模式)与反向代理(牵引模式)。

  • 路由代理模式

    路由代理模式,它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式,其它工作原理都一样。由于工作在路由 (网关) 模式因此需要为 WAF 的转发接口配置 IP 地址以及路由。

  • 旁路监控模式

    采用旁路监听模式,在交换机做服务器端口镜像,将流量复制一份到WAF上,部署时不影响在线业务。在旁路模式下WAF只会进行 告警而不阻断 。

  • 端口镜像模式

    端口镜像模式工作时,WAF 只对 HTTP 流量进行监控和报警,不进行拦截阻断。该模式需要使用交换机的端口镜像功能,也就是将交换机端口上的 HTTP 流量镜像一份给 WAF。对于 WAF 而言,流量只进不出。