Web应用防火墙常见的部署模式

反向代理模式
和透明代理的唯一区别是—— 透明代理客户端发出的请求的目的 地址就直接是后台的服务器，所以 透明代理工作方式不需要在WAF上配 置IP映射关系。
路由代理模式
与网桥透明代理的唯一区别是—— 该代理工作在路由转发模式而非网 桥模式，其它工作原理都一样。由 于工作在路由（网关）模式因此需 要为WAF的转发接口配置IP地址以及 路由。
模式
原理
区别
1、当WEB客户端对服务器有连接请求时，TCP连接请求 被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务 器之间的会话，将会话分成了两段，并基于桥模式进行 透明代理模式 转发。 （网桥代理模式） 2、从WEB客户端的角度看，WEB客户端仍然是直接访问 服务器，感知不到WAF的存在； 3、从WAF工作转发原理看和透明网桥转发一样。 1、将真实服务器的地址映射到反向代理服务器上，此 时代理服务器对外就表现为一个真实服务器。由于客户 端访问的就是WAF，因此在WAF无需像其它模式（如透明 和路由wenku.baidu.com理模式）一样需要采用特殊处理去劫持客户端 与服务器的会话然后为其做透明代理。 2、当代理服务器收到HTTP的请求报文后，将该请求转 发给其对应的真实服务器。后台服务器接收到请求后将 响应先发送给WAF设备，由WAF设备再将应答发送给客户 端。
可以在WAF上同时实现负载均衡；
1、对网络进行简单改动，要设置该 设备内网口和外网口的IP地址以及对 1、不支持服务器负载均衡功能； 应的路由； 2、存在单点故障 2、可以直接作为WEB服务器的网关， 3、要负责转发所有的流量 但是存在单点故障问题； 1、不需要对网络进行改动； 2、它仅对流量进行分析和告警记 录，并不会对恶意的流量进行拦截和 阻断； 3、适合于刚开始部署WAF时，用于收 不会对恶意的流量进行拦截和阻断 集和了解服务器被访问和被攻击的信 息，为后续在线部署提供优化配置参 考。 4、对原有网络不会有任何影响。
缺点 1、网络的所有流量（HTTP和非HTTP）都经 过WAF，对WAF的处理性能有一定要求； 2、采用该工作模式无法实现服务器负载 均衡功能； 3、需配置映射关系 1、需要对网络进行改动，配置相对复杂； 2、除了要配置WAF设备自身的地址和路由 外，还需要在WAF上配置后台真实WEB服务 器的地址和虚地址的映射关系； 3、另外如果原来服务器地址就是全局地址 的话（没经过NAT转换），还需要改变原有 服务器的IP地址以及改变原有服务器的DNS 解析地址。
端口镜像模式
1、只对HTTP流量进行监控和报警，不进行拦截阻断； 2、该模式需要使用交换机的端口镜像功能，也就是将 交换机端口上的HTTP流量镜像一份给WAF； 3、对于WAF而言，流量只进不出。
优势 1、对网络的改动最小，可以实现零 配置部署； 2、通过WAF的硬件Bypass功能在设备 出现故障或者掉电时可以不影响原有 网络流量，只是WAF自身功能失效； 3、无需配置映射关系