隨著電子商務、網(wǎng)上銀行、電子政務的盛行，WEB服務器承載的業(yè)務價值越來越高，WEB服務器所面臨的安全威脅也隨之增大，因此，針對WEB應用層的防御成為必然趨勢，WAF(Web Application Firewall，WEB應用防火墻)產(chǎn)品開始流行起來。

WAF產(chǎn)品按照形態(tài)劃分可以分為三種，硬件、軟件及云服務。軟件WAF由于功能及性能方面的缺陷，已經(jīng)逐漸被市場所淘汰。云WAF近兩年才剛剛興起，產(chǎn)品及市場也都還未成熟。與前兩種形態(tài)相比，硬件WAF經(jīng)過多年的應用，在各方面都相對成熟及完善，也是目前市場中WAF產(chǎn)品的主流形態(tài)。

既然是硬件產(chǎn)品，網(wǎng)絡部署對于用戶來說，是一個必須要考慮的問題?？v觀國內(nèi)外的硬件WAF產(chǎn)品，通常一個產(chǎn)品會支持多種部署模式。這也給用戶在購買或部署產(chǎn)品時帶來了困惑。以下將對硬件WAF幾種常見的部署模式做一個簡單介紹，希望可以幫助廣大用戶解除困惑。

WAF部署位置

通常情況下，WAF放在企業(yè)對外提供網(wǎng)站服務的DMZ區(qū)域或者放在數(shù)據(jù)中心服務區(qū)域，也可以與防火墻或IPS等網(wǎng)關設備串聯(lián)在一起(這種情況較少)。總之，決定WAF部署位置的是WEB服務器的位置。因為WEB服務器是WAF所保護的對象。部署時當然要使WAF盡量靠近WEB服務器。

WAF部署模式分類

根據(jù)WAF工作方式及原理不同可以分為四種工作模式：透明代理模式、反向代理模式、路由代理模式及端口鏡像模式。前三種模式也被統(tǒng)稱為在線模式，通常需要將WAF串行部署在WEB服務器前端，用于檢測并阻斷異常流量。端口鏡像模式也稱為離線模式，部署也相對簡單，只需要將WAF旁路接在WEB服務器上游的交換機上，用于只檢測異常流量。

圖1：WAF部署模式分類

WAF幾種部署模式的技術原理

工作模式技術原理

透明代理模式(也稱網(wǎng)橋代理模式)透明代理模式的工作原理是，當WEB客戶端對服務器有連接請求時，TCP連接請求被WAF截取和監(jiān)控。WAF偷偷的代理了WEB客戶端和服務器之間的會話，將會話分成了兩段，并基于橋模式進行轉發(fā)。從WEB客戶端的角度看，WEB客戶端仍然是直接訪問服務器，感知不到WAF的存在;從WAF工作轉發(fā)原理看和透明網(wǎng)橋轉發(fā)一樣，因而稱之為透明代理模式，又稱之為透明橋模式。

反向代理模式反向代理模式是指將真實服務器的地址映射到反向代理服務器上。此時代理服務器對外就表現(xiàn)為一個真實服務器。由于客戶端訪問的就是WAF，因此在WAF無需像其它模式(如透明和路由代理模式)一樣需要采用特殊處理去劫持客戶端與服務器的會話然后為其做透明代理。當代理服務器收到HTTP的請求報文后，將該請求轉發(fā)給其對應的真實服務器。后臺服務器接收到請求后將響應先發(fā)送給WAF設備，由WAF設備再將應答發(fā)送給客戶端。這個過程和前面介紹的透明代理其工作原理類似，唯一區(qū)別就是透明代理客戶端發(fā)出的請求的目的地址就直接是后臺的服務器，所以透明代理工作方式不需要在WAF上配置IP映射關系。

路由代理模式路由代理模式，它與網(wǎng)橋透明代理的唯一區(qū)別就是該代理工作在路由轉發(fā)模式而非網(wǎng)橋模式，其它工作原理都一樣。由于工作在路由(網(wǎng)關)模式因此需要為WAF的轉發(fā)接口配置IP地址以及路由。

端口鏡像模式端口鏡像模式工作時，WAF只對HTTP流量進行監(jiān)控和報警，不進行攔截阻斷。該模式需要使用交換機的端口鏡像功能，也就是將交換機端口上的HTTP流量鏡像一份給WAF。對于WAF而言，流量只進不出。

WAF幾種部署模式的典型拓撲

工作模式典型拓撲

透明代理模式(也稱網(wǎng)橋代理模式)

反向代理模式

路由代理模式

端口鏡像模式

WAF幾種部署模式的優(yōu)缺點

工作模式優(yōu)缺點

透明代理模式(也稱網(wǎng)橋代理模式)這種部署模式對網(wǎng)絡的改動最小，可以實現(xiàn)零配置部署。另外通過WAF的硬件Bypass功能在設備出現(xiàn)故障或者掉電時可以不影響原有網(wǎng)絡流量，只是WAF自身功能失效。缺點是網(wǎng)絡的所有流量(HTTP和非HTTP)都經(jīng)過WAF對WAF的處理性能有一定要求，采用該工作模式無法實現(xiàn)服務器負載均衡功能。

反向代理模式這種部署模式需要對網(wǎng)絡進行改動，配置相對復雜，除了要配置WAF設備自身的地址和路由外，還需要在WAF上配置后臺真實WEB服務器的地址和虛地址的映射關系。另外如果原來服務器地址就是全局地址的話(沒經(jīng)過NAT轉換)那么通常還需要改變原有服務器的IP地址以及改變原有服務器的DNS解析地址。采用該模式的優(yōu)點是可以在WAF上同時實現(xiàn)負載均衡。

路由代理模式這種部署模式需要對網(wǎng)絡進行簡單改動，要設置該設備內(nèi)網(wǎng)口和外網(wǎng)口的IP地址以及對應的路由。工作在路由代理模式時，可以直接作為WEB服務器的網(wǎng)關，但是存在單點故障問題，同時也要負責轉發(fā)所有的流量。該種工作模式也不支持服務器負載均衡功能。

端口鏡像模式這種部署模式不需要對網(wǎng)絡進行改動，但是它僅對流量進行分析和告警記錄，并不會對惡意的流量進行攔截和阻斷，適合于剛開始部署WAF時，用于收集和了解服務器被訪問和被攻擊的信息，為后續(xù)在線部署提供優(yōu)化配置參考。這種部署工作模式，對原有網(wǎng)絡不會有任何影響。