WAF 简介
WAF 即 Web 利用防火墙(Web Application Firewall)的简称,其作用是通过一系列安全策略来为 Web 利用提供平安防护。WAF 专门针对 Web 利用而设计,可能无效地避免诸如 SQL 注入、XSS 攻打等常见 Web 攻打。
WAF 常见的产品状态有三种模式:软件 WAF、硬件 WAF、云 WAF。其中硬件 WAF 是最传统惯例的产品状态,本文内容也重点波及硬件 WAF。
部署模式
硬件 WAF 的部署模式次要有:反向代理、通明代理、通明桥、流量镜像等。
反向代理
反向代理(Reverse Proxy)是一种网关技术,它旨在服务器和客户端间建设一个代理关系,使得客户端能够通过反向代理网关变相地与实在服务器进行通信。反向代理的 WAF 不扭转客户端的实在申请内容,而是将申请转发到后盾的实在服务器,而后将服务器的响应返回给客户端。反向代理 WAF 的工作口具备本人的 IP 地址,客户端理论是与 WAF 建设 TCP 连贯,再由 WAF 应用本人的 IP 与服务器建设申请关系。典型的部署架构如下:
其特点是实在的服务器暗藏在 WAF 前面,客户端对服务器的拜访强依赖 WAF 的代理。这样的架构能够使 WAF 作为中间人很容易地进行 HTTP 及 HTTPS 防护。
通明代理
通明代理(Transparent Proxy)也是一种代理技术,其不具备本人的 IP,客户端发动申请的目标 IP 就是服务器 IP。通明代理 WAF 个别串联在客户端与服务器之间,别离用服务器 IP 与客户端建设连贯,用客户端 IP 与服务器连贯,以达到“中间骗”的目标。一种常见部署模式如下图:
其中实线代表着实在的 TCP 连贯,虚线代表着从客户端和服务器的角度看到的网络连接。因为它是一种劫持代理技术,所以这种部署形式从物理拓扑上要求代理网关会接管到客户端与服务器通信的所有内容,否则会呈现一端 TCP 收包不全而产生连贯超时景象。
这种模式的特点是对网络逻辑拓扑侵入性小,不须要为 WAF 布局 IP 资源,其作为中间人也能够同时防护 HTTP 和 HTTPS。
通明桥
通明代理 WAF 是会与客户端服务器中间都建设实在的连贯,那咱们可不可以实现真通明,劫持连贯来做防护呢?答案就是应用通明桥。
通明桥(Transparent Bridge)部署的拓扑地位与通明代理相似,也是串联在客户端与服务器的必经之路上。但其不参加到 TCP 连贯中,它不会扭转数据包的任何一个字段,只是在串联的链路防护,平安的数据包就会放过 WAF 达到目的地。能够参考上面的示意图:
这种模式的特点与通明代理一样,不会对网络拓扑有逻辑入侵。因为不侵入 TCP 层,它能够随上随下且不会造成断流,如果两头有数据包因为选路起因没有通过 WAF,也不会影响连贯。是一种更为便捷的部署模式。
流量镜像
下面几种模式都是串联在网络中,但某些网络不容许串联除失常网络设备之外的其余网关,同时也有平安防护的需要,那有没有什么方法满足呢?答案是有。这时流量镜像模式就能够派上用场了。
流量镜像(Traffic Mirroring)模式如上图所示,客户端与服务器间会通过交换机,这时能够应用交换机的端口镜像性能,将 Web 申请流量的原始帧镜像给 WAF,WAF 将数据帧还原成原始申请就能够对流量进行剖析。
这个模式的特点是:对网络没有任何侵入性,可靠性更高。
各模式比照
部署模式 | 部署地位 | 是否检测 HTTPS | 通过 WAF 后是否会扭转数据包 | WAF 的部署会否影响原链路 |
---|---|---|---|---|
反向代理 | 串联 | 能 | 是 | 是 |
通明代理 | 串联 | 能 | 是 | 轻微影响 |
通明桥 | 串联 | 否 | 否 | 不影响 |
流量镜像 | 旁路 | 否 | – | 不影响 |
收费靠谱 WAF 举荐
自己次要是用的收费 WAF 为长亭科技推出的雷池社区版。雷池的部署状态上能够反对硬件、软件、云等场景,硬件版雷池对以上提到的部署模式均有反对。
附上雷池社区版官网链接,感兴趣的敌人们能够看看~waf-ce.chaitin.cn/