原理:
1、當WEB客戶端對服務器有連接請求時,TCP連接請求被WAF截取和監控。WAF偷偷的代理了WEB客戶端和服務器之間的會話,將會話分成了兩段,並基於橋模式進行轉發。
2、從WEB客戶端的角度看,WEB客戶端仍然是直接訪問服務器,感知不到WAF的存在;
3、從WAF工作轉發原理看和透明網橋轉發壹樣。
優勢:
1、對網絡的改動最小,可以實現零配置部署;
2、通過WAF的硬件Bypass功能在設備出現故障或者掉電時可以不影響原有網絡流量,只是WAF自身功能失效;
3、無需配置映射關系
缺點:
1、網絡的所有流量(HTTP和非HTTP)都經過WAF,對WAF的處理性能有壹定要求;
2、采用該工作模式無法實現服務器負載均衡功能;
3、需配置映射關系
模式二:反向代理模式
原理:
1、將真實服務器的地址映射到反向代理服務器上,此時代理服務器對外就表現為壹個真實服務器。由於客戶端訪問的就是WAF,因此在WAF無需像其它模式(如透明和路由代理模式)壹樣需要采用特殊處理去劫持客戶端與服務器的會話然後為其做透明代理。
2、當代理服務器收到HTTP的請求報文後,將該請求轉發給其對應的真實服務器。後臺服務器接收到請求後將響應先發送給WAF設備,由WAF設備再將應答發送給客戶端。
和透明代理的唯壹區別是——
透明代理客戶端發出的請求的目的地址就直接是後臺的服務器,所以透明代理工作方式不需要在WAF上配置IP映射關系。
優勢:
可以在WAF上同時實現負載均衡;
缺點:
1、需要對網絡進行改動,配置相對復雜;
2、除了要配置WAF設備自身的地址和路由外,還需要在WAF上配置後臺真實WEB服務器的地址和虛地址的映射關系;
3、另外如果原來服務器地址就是全局地址的話(沒經過NAT轉換),還需要改變原有服務器的IP地址以及改變原有服務器的DNS解析地址。
模式三:路由代理模式
與網橋透明代理的唯壹區別是——
該代理工作在路由轉發模式而非網橋模式,其它工作原理都壹樣。由於工作在路由(網關)模式因此需要為WAF的轉發接口配置IP地址以及路由。
優勢:
1、對網絡進行簡單改動,要設置該設備內網口和外網口的IP地址以及對應的路由;
2、可以直接作為WEB服務器的網關,但是存在單點故障問題;
缺點:
1、不支持服務器負載均衡功能;
2、存在單點故障
3、要負責轉發所有的流量
模式四:端口鏡像模式
原理:
1、只對HTTP流量進行監控和報警,不進行攔截阻斷;
2、該模式需要使用交換機的端口鏡像功能,也就是將交換機端口上的HTTP流量鏡像壹份給WAF;
3、對於WAF而言,流量只進不出。
優勢:
1、不需要對網絡進行改動;
2、它僅對流量進行分析和告警記錄,並不會對惡意的流量進行攔截和阻斷;
3、適合於剛開始部署WAF時,用於收集和了解服務器被訪問和被攻擊的信息,為後續在線部署提供優化配置參考。
4、對原有網絡不會有任何影響。
缺點:
不會對惡意的流量進行攔截和阻斷。