在当今数字化飞速发展的时代,WEB 应用面临着来自各方的安全威胁,而 WEB 应用防护系统(WAF)的部署成为了保障网络安全至关重要的环节。以下将详细介绍几种常见的 WEB 应用防护系统部署方式。
根据 WAF 接入网络后的工作方式,WAF 的部署方式分为如下几类:
0x1 串联部署
串接部署采用透明代理模式,
WAF
以代理服务器的方式运行在网络中,但用户以网站服务器
的
IP
地址访问网站,不需要指定
WAF
的
IP
地址、端口等信息。串联部署配置简单,即插即用,不需要客户网络做较大改动,应用于大部分用户网络中。但是因流量要经过 WAF,如果 WAF
设备自身出现问题可能会影响到客户网络通信。
串联部署支持 WAF
带外管理和
WAF
带内管理。
配置 WAF 的接口时,需注意以下事项:
在开启防篡改功能和进行扫描防护时,LAN 口需要配置 IP 地址。
同一设备不同接口不能配置相同网段的 IP 地址。
0x1.1 带外管理 IP 部署
WAF
带外管理
IP
部署,即
WAF
的带外管理口(
M
口)连接到网络设备(一般是交换机或路
由器)上。具体部署结构如图
所示。
0x1.2 带内管理 IP 部署
WAF
带内管理
IP
部署,即在
WAF
的
WAN
口或
LAN
口上配置管理
IP
地址,可由同侧网络通
过该
IP
地址对
WAF
进行管理,部署方式如下图
所示。图中的防火墙设备也可以是路由器
等三层设备。
0x2 旁路部署
旁路部署是将
WAF
旁路接入网络中,访问服务器的流量先被牵引到
WAF
进行检测,之后
WAF
再将流量注入用户网络,而服务器回应客户端的流量经过
WAF
检测后注入用户网络回
应给客户端。
WAF
在旁路工作时,仅在物理拓扑上为旁路接入,但在逻辑上所有客户端与
Web
服务器之间的双向流量都需要经过
WAF
。旁路部署方式如图
所示。
旁路部署的最大优点是可以充分利用
WAF
的处理资源,仅对需要保护的服务器流量进行检
测及处理;当遇到
WAF
设备故障或达到性能上限时最坏的情况也仅会对经过
WAF
设备的流
量产生影响,对原链路的其它系统或应用无影响。
旁路部署时,WAF 对客户端侧透明,故旁路部署也称作半透明代理工作模式。以此工作模式
部署
WAF
后,通过在路由设备上修改去往服务器
IP
的路由使对服务器的请求流量可到达
WAF
,客户端侧的设备(客户端主机、
WAF
前的防火墙等)上看到的对
Web
服务器的请求
仍是使用原来的服务器
IP
与服务器端口。
同时 WAF 对服务器侧为代理工作模式,为保证服务器的 HTTP 响应可以回到 WAF ,在将请求
发送到服务器侧时,
WAF
以自身接口的
IP
地址作为源
IP
地址,因此服务器侧设备(服务器、
WAF
后的防火墙)上看到对
Web
服务器的请求均是由
WAF
接口
IP
地址发起。
为保存真实客户端的 IP 地址信息, WAF 按照标准代理服务器处理方式,将客户端 IP 地址添
加到请求的
X-Forwarded-For
域中,可供
Web
服务器及
Web
应用程序记录、使用。
旁路部署适用于部署多业务网段服务器的网络环境,可以提供逻辑在线防护机制。部署灵活
性较好,可以实现业务分流,对核心系统影响较小。
0x3 镜像监听部署
镜像监听是指将
WAF
和交换机通过镜像口连接,并分别在
WAF
和交换机上进行配置,将流
经
Web
服务器的流量数据通过镜像口镜像一份到
WAF
设备上,供
WAF
进行分析、检测。镜
像监听的部署方式如下图
所示。
镜像方式主要有以下三种:
在交换机上设置,将 LAN 口的上、下行流量全部镜像到 Mirror 口,并通过 Mirror 口的
网线直接与
WAF
的镜像口连通。
在交换机上设置,将 WAN 口的上、下行流量全部镜像到 Mirror 口,并通过 Mirror 口的
网线直接与
WAF
的镜像口连通。
在交换机上设置,将 LAN 口的上行流量以及 WAN 口的下行流量全部镜像到 Mirror 口,
并通过
Mirror
口的网线直接与
WAF
的镜像口连通。
0x4 反向代理部署
反向代理是指将
WAF
部署在
Web
服务器前面,代替服务器接受来自
Internet
客户端的连接
请求,然后将请求转发给内部网络中的服务器,并将从服务器上得到的结果返回给
Internet
上请求连接的客户端,
WAF
对外表现为一个服务器,反向代理的部署方式如图
所示。
在反向代理工作模式下,客户端与
Web
服务器互相均不可见。客户端侧直接访问
WAF
上的
接口
IP
地址,而服务器侧仅能看到来自
WAF
接口
IP
地址的访问。
在反向代理工作模式下,WAF 只对与代理策略匹配的 HTTP/HTTPS 流量进行代理转发,其余
HTTP/HTTPS
流量一律丢弃不进行处理。
为保存真实客户端的 IP 地址信息, WAF 按照标准代理服务器处理方式,将客户端 IP 地址添
加到请求的
X-Forwarded-For
域中,可供
Web
服务器及
Web
应用程序记录、使用。
反向代理工作模式需要改动 Web 服务器 IP 地址以及 DNS 解析,安全性更高。
0x5 插件式部署
为了解决
WAF
横向扩展和稳定性问题,绿盟推出全新插件化
WAF
部署方案,使得对业务稳
定性要求高的用户有了新的选择,做到真正网络的“零”影响。
插件式部署中,
Nginx
服务器上的
WAF_Nginx
代理模块将流量转发至源站前,通过子请求将
流量复制一份发送给
WAF
,由
WAF
做检测,并将检测结果返回给代理模块,由
Nginx
完成
阻断动作。插件式部署模式如图
所示
0x6 部署方式比较
总之,选择合适的 WEB 应用防护系统部署方式需要综合考虑网络架构、应用类型、安全需求和预算等多方面因素。只有正确地部署 WAF,才能有效地抵御日益复杂的网络攻击,为 WEB 应用的安全稳定运行保驾护航。
