在当今数字化飞速发展的时代,WEB 应用面临着来自各方的安全威胁,而 WEB 应用防护系统(WAF)的部署成为了保障网络安全至关重要的环节。以下将详细介绍几种常见的 WEB 应用防护系统部署方式。
根据 WAF 接入网络后的工作方式,WAF 的部署方式分为如下几类:
0x1 **串联部署 **
串接部署采用透明代理模式,WAF 以代理服务器的方式运行在网络中,但用户以网站服务器
的 IP 地址访问网站,不需要指定 WAF 的 IP 地址、端口等信息。串联部署配置简单,即插即用,不需要客户网络做较大改动,应用于大部分用户网络中。但是因流量要经过 WAF,如果 WAF 设备自身出现问题可能会影响到客户网络通信。
串联部署支持 WAF 带外管理和 WAF 带内管理。
配置 WAF 的接口时,需注意以下事项:
在开启防篡改功能和进行扫描防护时,LAN 口需要配置 IP 地址。
同一设备不同接口不能配置相同网段的 IP 地址。
0x1.1 **带外管理 ****IP ****部署 **
WAF 带外管理 IP 部署,即 WAF 的带外管理口(M 口)连接到网络设备(一般是交换机或路
由器)上。具体部署结构如图所示。
0x1.2 **带内管理 ****IP ****部署 **
WAF 带内管理 IP 部署,即在 WAF 的 WAN 口或 LAN 口上配置管理 IP 地址,可由同侧网络通
过该 IP 地址对 WAF 进行管理,部署方式如下图所示。图中的防火墙设备也可以是路由器
等三层设备。
0x2 **旁路部署 **
旁路部署是将 WAF 旁路接入网络中,访问服务器的流量先被牵引到 WAF 进行检测,之后
WAF 再将流量注入用户网络,而服务器回应客户端的流量经过 WAF 检测后注入用户网络回
应给客户端。WAF 在旁路工作时,仅在物理拓扑上为旁路接入,但在逻辑上所有客户端与
Web 服务器之间的双向流量都需要经过 WAF。旁路部署方式如图所示。
旁路部署的最大优点是可以充分利用 WAF 的处理资源,仅对需要保护的服务器流量进行检
测及处理;当遇到 WAF 设备故障或达到性能上限时最坏的情况也仅会对经过 WAF 设备的流
量产生影响,对原链路的其它系统或应用无影响。
旁路部署时,WAF 对客户端侧透明,故旁路部署也称作半透明代理工作模式。以此工作模式
部署 WAF 后,通过在路由设备上修改去往服务器 IP 的路由使对服务器的请求流量可到达
WAF,客户端侧的设备(客户端主机、WAF 前的防火墙等)上看到的对 Web 服务器的请求
仍是使用原来的服务器 IP 与服务器端口。
同时 WAF 对服务器侧为代理工作模式,为保证服务器的 HTTP 响应可以回到 WAF,在将请求
发送到服务器侧时,WAF 以自身接口的 IP 地址作为源 IP 地址,因此服务器侧设备(服务器、
WAF 后的防火墙)上看到对 Web 服务器的请求均是由 WAF 接口 IP 地址发起。
为保存真实客户端的 IP 地址信息,WAF 按照标准代理服务器处理方式,将客户端 IP 地址添
加到请求的 X-Forwarded-For 域中,可供 Web 服务器及 Web 应用程序记录、使用。
旁路部署适用于部署多业务网段服务器的网络环境,可以提供逻辑在线防护机制。部署灵活
性较好,可以实现业务分流,对核心系统影响较小。
0x3 **镜像监听部署 **
镜像监听是指将 WAF 和交换机通过镜像口连接,并分别在 WAF 和交换机上进行配置,将流
经 Web 服务器的流量数据通过镜像口镜像一份到 WAF 设备上,供 WAF 进行分析、检测。镜
像监听的部署方式如下图 所示。
镜像方式主要有以下三种:
在交换机上设置,将 LAN 口的上、下行流量全部镜像到 Mirror 口,并通过 Mirror 口的
网线直接与 WAF 的镜像口连通。
在交换机上设置,将 WAN 口的上、下行流量全部镜像到 Mirror 口,并通过 Mirror 口的
网线直接与 WAF 的镜像口连通。
在交换机上设置,将 LAN 口的上行流量以及 WAN 口的下行流量全部镜像到 Mirror 口,
并通过 Mirror 口的网线直接与 WAF 的镜像口连通。
0x4 **反向代理部署 **
反向代理是指将 WAF 部署在 Web 服务器前面,代替服务器接受来自 Internet 客户端的连接
请求,然后将请求转发给内部网络中的服务器,并将从服务器上得到的结果返回给 Internet
上请求连接的客户端,WAF 对外表现为一个服务器,反向代理的部署方式如图所示。
在反向代理工作模式下,客户端与 Web 服务器互相均不可见。客户端侧直接访问 WAF 上的
接口 IP 地址,而服务器侧仅能看到来自 WAF 接口 IP 地址的访问。
在反向代理工作模式下,WAF 只对与代理策略匹配的 HTTP/HTTPS 流量进行代理转发,其余
HTTP/HTTPS 流量一律丢弃不进行处理。
为保存真实客户端的 IP 地址信息,WAF 按照标准代理服务器处理方式,将客户端 IP 地址添
加到请求的 X-Forwarded-For 域中,可供 Web 服务器及 Web 应用程序记录、使用。
反向代理工作模式需要改动 Web 服务器 IP 地址以及 DNS 解析,安全性更高。
0x5 **插件式部署 **
为了解决 WAF 横向扩展和稳定性问题,绿盟推出全新插件化 WAF 部署方案,使得对业务稳
定性要求高的用户有了新的选择,做到真正网络的“零”影响。
插件式部署中,Nginx 服务器上的 WAF_Nginx 代理模块将流量转发至源站前,通过子请求将
流量复制一份发送给 WAF,由 WAF 做检测,并将检测结果返回给代理模块,由 Nginx 完成
阻断动作。插件式部署模式如图所示
0x6 部署方式比较
总之,选择合适的 WEB 应用防护系统部署方式需要综合考虑网络架构、应用类型、安全需求和预算等多方面因素。只有正确地部署 WAF,才能有效地抵御日益复杂的网络攻击,为 WEB 应用的安全稳定运行保驾护航。
版权归原作者 Administrator_ABC 所有, 如有侵权,请联系我们删除。