WAF的部署方式——有直路部署和旁路部署
WAF的部署⽅式——有直路部署和旁路部署
随着电⼦商务、⽹上银⾏、电⼦政务的盛⾏,WEB服务器承载的业务价值越来越⾼,WEB服务器所⾯临的安全威胁也随之增⼤,因此,针对WEB应⽤层的防御成为必然趋势,WAF(WebApplicationFirewall,WEB应⽤防⽕墙)产品开始流⾏起来。
WAF产品按照形态划分可以分为三种,硬件、软件及云服务。软件WAF由于功能及性能⽅⾯的缺陷,已经逐渐被市场所淘汰。云WAF近两年才刚刚兴起,产品及市场也都还未成熟。与前两种形态相⽐,硬件WAF经过多年的应⽤,在各⽅⾯都相对成熟及完善,也是⽬前市场中WAF产品的主流形态。
既然是硬件产品,⽹络部署对于⽤户来说,是⼀个必须要考虑的问题。纵观国内外的硬件WAF产品,通常⼀个产品会⽀持多种部署模式。这也给⽤户在购买或部署产品时带来了困惑。以下将对硬件WAF⼏种常见的部署模式做⼀个简单介绍,希望可以帮助⼴⼤⽤户解除困惑。
· WAF部署位置
通常情况下,WAF放在企业对外提供⽹站服务的DMZ区域或者放在数据中⼼服务区域,也可以与防⽕墙或IPS等⽹关设备串联在⼀起(这种情况较少)。总之,决定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。
·
WAF部署模式分类
根据WAF⼯作⽅式及原理不同可以分为四种⼯作模式:透明代理模式、反向代理模式、路由代理模式及端⼝镜像模式。前三种模式也被统称为在线模式,通常需要将WAF串⾏部署在WEB服务器前端,⽤于检测并阻断异常流量。端⼝镜像模式也称为离线模式,部署也相对简单,只需要将WAF旁路接在WEB服务器上游的交换机上,⽤于只检测异常流量。
图1:WAF部署模式分类
· WAF⼏种部署模式的技术原理
(1) 透明代理模式(也称⽹桥代理模式):透明代理模式的⼯作原理是,当WEB客户端对服务器有连接请求时,TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话,将会话分成了两段,并基于桥模式进⾏转发。从WEB客户端的⾓度看,WEB客户端仍然是直接访问服务器,感知不到WAF的存在;从WAF⼯作转发原理看和透明⽹桥转发⼀样,因⽽称之为透明代理模式,⼜称之为透明桥模式。
典型拓扑
(2) 反向代理模式:反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器
对外就表现为⼀个真实服务器。由于客户端访问的就是WAF,因此在WAF⽆需像其它模式(如透明和路由代理模式)⼀样需要采⽤特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到HTTP的请求报⽂后,将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备,由WAF设备再将应答发送给客户端。这个过程和前⾯介绍的透明代理其⼯作原理类似,唯⼀区别就是透明代理客户端发出的请求的⽬的地址就直接是后台的服务器,所以透明代理⼯作⽅式不需要在WAF上配置IP映射关系。
典型拓扑
(3) 路由代理模式:路由代理模式,它与⽹桥透明代理的唯⼀区别就是该代理⼯作在路由转发模式⽽⾮⽹桥模式,其它⼯作原理都⼀样。由于⼯作在路由(⽹关)模式因此需要为WAF的转发接⼝配置IP地址以及路由。
典型拓扑
如何设置代理服务器(4) 端⼝镜像模式:端⼝镜像模式⼯作时,WAF只对HTTP流量进⾏监控和报警,不进⾏拦截阻断。该模式需要使⽤交换机的端⼝镜像功能,也就是将交换机端⼝上的HTTP流量镜像⼀份给WAF。对于WAF⽽⾔,流量只进不出。
典型拓扑
· WAF⼏种部署模式的优缺点
(1) 透明代理模式(也称⽹桥代理模式):这种部署模式对⽹络的改动最⼩,可以实现零配置部署。另外通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有⽹络流量,只是WAF⾃⾝功能失效。缺点是⽹络的所有流量(HTTP和⾮HTTP)都经过WAF对WAF的处理性能有⼀定要求,采⽤该⼯作模式⽆法实现服务器负载均衡功能。
(2) 反向代理模式:这种部署模式需要对⽹络进⾏改动,配置相对复杂,除了要配置WAF设备⾃⾝的地址和路由外,还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话(没经过NAT转换)那么通常还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。采⽤该模式的优点是可以在WAF上同时实现负载均衡。
(3) 路由代理模式:这种部署模式需要对⽹络进⾏简单改动,要设置该设备内⽹⼝和外⽹⼝的IP地址以及对应的路由。⼯作在路由代理模式时,可以直接作为WEB服务器的⽹关,但是存在单点故障问题,同时也要负责转发所有的流量。该种⼯作模式也不⽀持服务器负载均衡功能。
(4) 端⼝镜像模式:这种部署模式不需要对⽹络进⾏改动,但是它仅对流量进⾏分析和告警记录,并不会对恶意的流量进⾏拦截和阻断,适合于刚开始部署WAF时,⽤于收集和了解服务器被访问和被攻击的信息,为后续在线部署提供优化配置参考。这种部署⼯作模式,对原有⽹络不会有任何影响。
【列举市场上的⼏种web防⽕墙】

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。