¿Qué modos de implementación admite nuestro firewall de aplicaciones web waf?
Principio:
1. Cuando el cliente WEB envía una solicitud de conexión al servidor, WAF interceptará y monitoreará la solicitud de conexión TCP Y proxy en secreto la sesión entre el cliente WEB y el servidor, divida la sesión en dos segmentos y reenvíelos de acuerdo con el modo puente.
2. Desde la perspectiva del cliente WEB, el cliente WEB aún accede directamente al servidor y no percibirá la existencia de WAF
3. de WAF, el reenvío también es un reenvío de puente transparente.
Ventajas:
1. Cambios mínimos en la red, lo que permite una implementación sin configuración.
2. A través de la función de derivación de hardware de WAF, en el caso; de falla del equipo o incluso cuando la energía está apagada, el tráfico de red original no se verá afectado, pero la función de WAF en sí se desactivará;
3. No se requiere configuración de mapeo
Desventajas:
Todos los clientes de la red siguen accediendo al servidor directamente.
1. Todo el tráfico de red (HTTP y no HTTP) debe pasar a través de WAF, que tiene ciertos requisitos para el rendimiento de procesamiento de WAF.
2. Función de equilibrio de carga del servidor;
3. Es necesario configurar la relación de mapeo
Modo 2: modo proxy inverso
Principio:
1. Asigne la dirección del servidor real al modo proxy inverso. La dirección del servidor real se asigna al servidor proxy inverso, y luego el servidor proxy inverso actúa como el servidor real hacia el mundo exterior. Debido a que el cliente accede al WAF, el WAF no necesita utilizar un manejo especial para secuestrar la sesión del cliente con el servidor y luego representar al cliente de forma transparente como otros patrones, como el proxy transparente y los patrones de proxy enrutados.
2. Cuando el servidor proxy recibe el mensaje de solicitud HTTP, reenviará la solicitud al servidor real correspondiente. El servidor backend recibe la solicitud y envía la respuesta al dispositivo WAF, que luego envía la respuesta al cliente.
La única diferencia con el proxy transparente es:
El cliente proxy transparente envía directamente la solicitud a la dirección de destino del servidor back-end, por lo que el proxy transparente no necesita configurar la relación de mapeo de IP en el WAF. Puede funcionar.
Ventajas:
El equilibrio de carga se puede lograr en WAF al mismo tiempo.
Desventajas:
1. La red necesita; ser modificado y configurado Relativamente complicado;
2. Además de configurar la dirección y el enrutamiento del dispositivo WAF en sí, también necesita configurar la relación de mapeo entre la dirección del servidor WEB real en el backend y la dirección virtual en el WAF;
3. Si la dirección y el enrutamiento del dispositivo WAF no coinciden con la dirección del servidor WEB, debe modificar el dispositivo WAF; 4. Si la dirección y el enrutamiento del dispositivo WAF no coinciden con la dirección del servidor WEB, debe modificar el dispositivo WAF. Realice cambios en el dispositivo;
5. Si la dirección y el enrutamiento de. el dispositivo WAF son inconsistentes, debe realizar cambios en el dispositivo WAF. Además, si la dirección del servidor de origen es una dirección global (sin traducción NAT), también deberá cambiar la dirección IP del servidor de origen y la dirección de resolución DNS del servidor de origen.
Modo 3: Modo proxy de enrutamiento
La única diferencia con el proxy puente transparente es que:
El proxy funciona en modo de enrutamiento y reenvío, no en modo puente. , todos los demás principios de funcionamiento son los mismos. Dado que funciona en modo enrutado (puerta de enlace), es necesario configurar la dirección IP y la ruta para la interfaz de reenvío del WAF.
Ventajas:
1. Los cambios en la red son sencillos, basta con configurar las direcciones IP de las interfaces de red internas y externas del dispositivo y las rutas correspondientes.
; p> 2. Se puede utilizar directamente como puerta de enlace del servidor WEB, pero hay un único punto de falla;
Desventajas:
1. Es necesario configurar las direcciones IP de las interfaces de red internas y externas del dispositivo y el enrutamiento correspondiente;
2. Es necesario configurar las direcciones IP de las interfaces de red internas y externas del dispositivo y las rutas correspondientes;
3. Es necesario configurar las direcciones IP de las interfaces de red interna y externa del dispositivo y la configuración de enrutamiento correspondiente:
1. La función de equilibrio de carga del servidor no es compatible; p> 2. Hay un único punto de falla;
3. Usted debe ser responsable de reenviar todo el tráfico
Modo 4: Modo de duplicación de puertos
Principio:
1. En el modo de duplicación de puertos, todo el tráfico de la red se reenviará a un puerto:
2. Este modo requiere el uso de la función de duplicación de puertos del conmutador. , es decir, reflejar una copia del tráfico HTTP en el puerto del conmutador al WAF
3 Para el WAF, el tráfico solo es entrante.
Ventajas:
1. No se requieren cambios en la red;
2. Solo se realizan análisis de tráfico y grabación de alarmas, y no se intercepta el tráfico malicioso. o bloqueado. ;
3. Adecuado para recopilar y comprender información sobre el acceso al servidor y los ataques al comienzo de la implementación de WAF, y proporcionar una referencia de configuración optimizada para la implementación en línea posterior.
4. No tendrá ningún impacto en la red original.
Desventajas:
No puede interceptar ni bloquear el tráfico malicioso.