WEB 应用防护系统的部署方式

创作时间:

作者:

@小白创作中心

WEB 应用防护系统的部署方式

引用

CSDN

https://blog.csdn.net/Sgirll/article/details/142586952

在当今数字化飞速发展的时代，WEB 应用面临着来自各方的安全威胁，而 WEB 应用防护系统（WAF）的部署成为了保障网络安全至关重要的环节。以下将详细介绍几种常见的 WEB 应用防护系统部署方式。

根据 WAF接入网络后的工作方式，WAF的部署方式分为如下几类：

0x1串联部署

串接部署采用透明代理模式，WAF以代理服务器的方式运行在网络中，但用户以网站服务器
的IP地址访问网站，不需要指定WAF的IP地址、端口等信息。串联部署配置简单，即插即用，不需要客户网络做较大改动，应用于大部分用户网络中。但是因流量要经过 WAF，如果 WAF设备自身出现问题可能会影响到客户网络通信。

串联：不修改源、目IP

串联部署支持 WAF带外管理和WAF带内管理。

配置 WAF的接口时，需注意以下事项：

在开启防篡改功能和进行扫描防护时，LAN 口需要配置 IP 地址。

同一设备不同接口不能配置相同网段的 IP 地址。

0x1.1带外管理IP部署

WAF带外管理IP部署，即WAF的带外管理口（M口）连接到网络设备（一般是交换机或路
由器）上。具体部署结构如图所示。

0x1.2带内管理IP部署

WAF带内管理IP部署，即在WAF的WAN口或LAN口上配置管理IP地址，可由同侧网络通
过该IP地址对WAF进行管理，部署方式如下图所示。图中的防火墙设备也可以是路由器
等三层设备。

0x2旁路部署

旁路部署是将WAF旁路接入网络中，访问服务器的流量先被牵引到WAF进行检测，之后
WAF再将流量注入用户网络，而服务器回应客户端的流量经过WAF检测后注入用户网络回
应给客户端。WAF在旁路工作时，仅在物理拓扑上为旁路接入，但在逻辑上所有客户端与
Web服务器之间的双向流量都需要经过WAF。旁路部署方式如图所示。

旁路部署的最大优点是可以充分利用WAF的处理资源，仅对需要保护的服务器流量进行检
测及处理；当遇到WAF设备故障或达到性能上限时最坏的情况也仅会对经过WAF设备的流
量产生影响，对原链路的其它系统或应用无影响。

旁路部署时，WAF对客户端侧透明，故旁路部署也称作半透明代理工作模式。以此工作模式
部署WAF后，通过在路由设备上修改去往服务器IP的路由使对服务器的请求流量可到达
WAF，客户端侧的设备（客户端主机、WAF前的防火墙等）上看到的对Web服务器的请求
仍是使用原来的服务器IP与服务器端口。

同时 WAF对服务器侧为代理工作模式，为保证服务器的HTTP响应可以回到WAF，在将请求
发送到服务器侧时，WAF以自身接口的IP地址作为源IP地址，因此服务器侧设备（服务器、
WAF后的防火墙）上看到对Web服务器的请求均是由WAF接口IP地址发起。

为保存真实客户端的 IP地址信息，WAF按照标准代理服务器处理方式，将客户端IP地址添
加到请求的X-Forwarded-For域中，可供Web服务器及Web应用程序记录、使用。

旁路部署适用于部署多业务网段服务器的网络环境，可以提供逻辑在线防护机制。部署灵活
性较好，可以实现业务分流，对核心系统影响较小。

旁路：修改源IP