安全观察:浅谈WAF几种常见的部署模式

最新推荐文章于 2024-02-25 10:30:00 发布
最新推荐文章于 2024-02-25 10:30:00 发布
阅读量4w 收藏 58
点赞数 6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enweitech/article/details/51905922
版权
随着电子商务、网上银行、电子政务的盛行,WEB服务器承载的业务价值越来越高,WEB服务器所面临的安全威胁也随之增大,因此,针对WEB应用层的防御成为必然趋势,WAF(WebApplicationFirewall,WEB应用防火墙)产品开始流行起来。

WAF产品按照形态划分可以分为三种,硬件、软件及云服务。软件WAF由于功能及性能方面的缺陷,已经逐渐被市场所淘汰。云WAF近两年才刚刚兴起,产品及市场也都还未成熟。与前两种形态相比,硬件WAF经过多年的应用,在各方面都相对成熟及完善,也是目前市场中WAF产品的主流形态。

既然是硬件产品,网络部署对于用户来说,是一个必须要考虑的问题。纵观国内外的硬件WAF产品,通常一个产品会支持多种部署模式。这也给用户在购买或部署产品时带来了困惑。以下将对硬件WAF几种常见的部署模式做一个简单介绍,希望可以帮助广大用户解除困惑。

· WAF部署位置

通常情况下,WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域,也可以与防火墙或IPS等网关设备串联在一起(这种情况较少)。总之,决定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。

· WAF部署模式分类

根据WAF工作方式及原理不同可以分为四种工作模式:透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式,通常需要将WAF串行部署在WEB服务器前端,用于检测并阻断异常流量。端口镜像模式也称为离线模式,部署也相对简单,只需要将WAF旁路接在WEB服务器上游的交换机上,用于只检测异常流量。

\

图1:WAF部署模式分类

· WAF几种部署模式的技术原理

(1) 透明代理模式(也称网桥代理模式):透明代理模式的工作原理是,当WEB客户端对服务器有连接请求时,TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话,将会话分成了两段,并基于桥模式进行转发。从WEB客户端的角度看,WEB客户端仍然是直接访问服务器,感知不到WAF的存在;从WAF工作转发原理看和透明网桥转发一样,因而称之为透明代理模式,又称之为透明桥模式。

\

典型拓扑

(2) 反向代理模式:反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF,因此在WAF无需像其它模式(如透明和路由代理模式)一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到HTTP的请求报文后,将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备,由WAF设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似,唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的服务器,所以透明代理工作方式不需要在WAF上配置IP映射关系。

\

典型拓扑

(3) 路由代理模式:路由代理模式,它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式,其它工作原理都一样。由于工作在路由(网关)模式因此需要为WAF的转发接口配置IP地址以及路由。

\

典型拓扑

(4) 端口镜像模式:端口镜像模式工作时,WAF只对HTTP流量进行监控和报警,不进行拦截阻断。该模式需要使用交换机的端口镜像功能,也就是将交换机端口上的HTTP流量镜像一份给WAF。对于WAF而言,流量只进不出。

\

典型拓扑

· WAF几种部署模式的优缺点

(1) 透明代理模式(也称网桥代理模式):这种部署模式对网络的改动最小,可以实现零配置部署。另外通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量,只是WAF自身功能失效。缺点是网络的所有流量(HTTP和非HTTP)都经过WAF对WAF的处理性能有一定要求,采用该工作模式无法实现服务器负载均衡功能。

(2) 反向代理模式:这种部署模式需要对网络进行改动,配置相对复杂,除了要配置WAF设备自身的地址和路由外,还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话(没经过NAT转换)那么通常还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。采用该模式的优点是可以在WAF上同时实现负载均衡。

(3) 路由代理模式:这种部署模式需要对网络进行简单改动,要设置该设备内网口和外网口的IP地址以及对应的路由。工作在路由代理模式时,可以直接作为WEB服务器的网关,但是存在单点故障问题,同时也要负责转发所有的流量。该种工作模式也不支持服务器负载均衡功能。

(4) 端口镜像模式:这种部署模式不需要对网络进行改动,但是它仅对流量进行分析和告警记录,并不会对恶意的流量进行拦截和阻断,适合于刚开始部署WAF时,用于收集和了解服务器被访问和被攻击的信息,为后续在线部署提供优化配置参考。这种部署工作模式,对原有网络不会有任何影响。

【列举市场上的几种web防火墙】

Web应用防火墙 FreeWAF 开源代码发布了 http://www.oschina.net/news/42772/freewaf-code-opened

安全宝 - 网站安全专家 | 防黑客、抗DDoS、网站加速 永久免费 http://www.anquanbao.com/

安全狗-企业安全解决方案|云安全|服务器安全|网站安全 http://www.safedog.cn/index.html

可信云评估_可信云, 选购云服务,先上可信云 - 数据中心联盟 http://www.dca.org.cn/html/kexinyun/index.html

YUNDUN-抗DDoS_防CC攻击_高防智能DNS_免费CDN加速_WAF云防御 http://www.yundun.com/

牛盾云安全 - 防黑客、防网站DDoS攻击、防网站CC攻击、网站加速、高防智能DNS 永久免费 https://www.newdefend.com/

天府云创
关注
  • 6
    点赞
  • 58
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解释清楚常见网络设备的部署模式及优缺点
qq_43987474的博客
01-04 7103
解释清楚常见网络设备的部署模式及优缺点 四种部署模式: 1.路由部署 2.网桥模式 3.单臂模式 4.旁路模式 常见部署模式示意图: 图示说明:注意图中标准的IP地址,路由模式不同的端口是处于不同的网段的,网桥的出入口都是同属于一个网段的 了解部署模式目标:知道网络设备如何放到现有的网络环境中,实现影响最小,帮助最大的放置方式 1.路由模式 可以隔离广播域,设备的两个接口连接两个不同的网段,也就是连接两个不同的广播域,并且储存路由表,需要进行路由转发。 优点:支持的网络功能最多最全面:支持路由转发,i
浅谈WAF市场中常见的检测技术
10-19
启明星辰,WAF,Web应用防火墙,算法,Web服务器,随着电子商务、网上银行、电子政务的盛行,Web服务器承载的业务价值越来越高,Web服务器所面临的安全威胁也随之增大,因此,针对Web应用层的防
WAF的三种运行模式
KEY0NE的个人博客
04-11 1861
物理直通模式 设备网口处于短路状态,数据包直接通过物理层(PHY)和后端接通,不通过WAF的应用层安全引擎(HTTP&SecEngine),WAF安全检测失效,设备无法统计到流量、接口收发等信息,无法在设备上抓取数据包信息。 该模式主要用于当WAF设备出现软件或者硬件故障(包括设备断电)时,为了保证业务的正常运行,可将设备切换到物理直通模式以保证业务访问不中断。相当于网线。 网桥直通模式 设备处于转发模式,数据包通过MAC层转发,不通过WAF的应用层安全引擎(HTTP&SecE
WAF相关知识及安全狗的部署和绕过
wangluoanquan111的博客
02-25 921
一:WAF基础知识(一)WAF简介WAF即Web应用程序防火墙通过过滤和监视Web应用程序与Internet之间的HTTP通信来帮助保护Web应用程序,Web ApplicationFirewall (WEB 应用防护系统)。WAF与传统的 Firewall (防火墙) 不同,WAF针对的是应用层。WAF可以用来屏蔽常见的网站漏洞攻击,如SQL注入,XML注入、XSS等。WAF针对的是应用层而非网络层的入侵,从技术角度应该称之为WebIPS。(二)WAF工作原理。
防火墙部署方式
qq_40216188的博客
03-14 2420
防火墙部署方式介绍
WAF——web安全及web应用防火墙
m0_75056154的博客
03-23 1495
WAF——web安全及web应用防火墙
企业私有云:安全架构设计与安全运营实践指南
网络安全
01-24 1430
本文将介绍在企业私有云建设过程中,可能遭到的信息安全威胁;并重点介绍如何通过纵深防御模型,分层次的精准部署安全策略,做到有的放矢,对私有云进行保护,提升云平台安全威胁防御能力;以及后期的安全运营管理,使信息安全防御措施渗透到系统的每个环节。
基于部署方式的三类防火墙
2301_78457663的博客
06-08 543
基于部署方式来划分的防火墙有三种类型:硬件防火墙、软件防火墙和基于云的防火墙。
防火墙的几种部署模式和方法
热门推荐
居上
07-01 2万+
防火墙的部署模式 路由模式 当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。 如下图所示,防火墙的Trust区域接口与公司内部网络相连,Untrust 区域接口与外部网络相连。值得注意的是,Trust 区域接口和Untrust 区域接口分别处于两个不同的子网中。 采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而,路由模式需要对网络拓扑进行修改
WAF的基础理解
qq_45377063的博客
07-22 1170
WAF的定义 WAF(web应用防火墙),对于应用层HTTP流量的检测与防护,也是对于常见的OWASP风险进行防护的安全设备。 WAF与防火墙、IPS的区分度 防火墙是位于互联网入口的第一道防线,它主要负责OSI模型中二层到四层的防护,四到七层的防护很微弱。 防病毒软件是在五层到七层起作用。 为了弥补防火墙和防病毒软件对四层到七层防护的空缺,IPS应运而生。 WAF部署方式 代理和镜像 串联、旁路和反向代理都是起代理的作用 镜像拉取只有告警作用,并不能防护 串联:部署简单,但流量都得从它身上过,容易出现单
WAF基本原理与部署方式
qq_38647109的博客
06-14 3369
时下,网络攻击和针对网站的攻击与日俱增。同时,在我们的日常生活中,安全的重要性也迅速提升。因此,保证在线上世界的安全变得越来越重要。更重要的是,保护你的网站和所存储的数据的安全。所以,我们将介绍什么是WAF基本原理与部署方式。WAF是什么?WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。WAF基本原理与部署方式: WAF
WAF 常见部署模式
m0_63660506的博客
07-04 1227
WAF 即 Web 应用防火墙(Web Application Firewall)的简称,其作用是通过一系列安全策略来为 Web 应用提供安全防护。WAF 专门针对 Web 应用而设计,能够有效地防止诸如 SQL 注入、XSS 攻击等常见 Web 攻击。WAF 常见的产品形态有三种模式:软件 WAF、硬件 WAF、云 WAF。其中硬件 WAF 是最传统常规的产品形态,本文内容也重点涉及硬件 WAF
浅谈绕过WAF的数种方法.txt
07-18
浅谈绕过WAF的数种方法.txt
luawaf:一种安全且可私有部署的Web应用程序防火墙(WAF)。
02-03
一个用Lua写的WEB应用防火墙(WAF)。 新版本将会陆续更新。 如果您发现了绕过突破,请在Issues中提交详细细节。 全新版本 一年来,我断断续续进行WAF进行了更新,目前已经完成了以下工作,有时间我会陆陆续续上传...
maiev-waf:众安开源waf引擎
02-03
maiev-waf:众安开源waf引擎
Web_安全架构浅谈.pdf
08-07
目录 WEB安全 扫描器&WAF
c语言涂格子游戏源码.rar
04-22
c语言涂格子游戏源码.rar
node-v18.14.2-linux-armv7l.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
C++ 实现全连接神经网络及矩阵头文件 及技术指导
04-22
矩阵头文件
bash: ./waf: No such file or directory
01-25
这个错误通常是由于找不到指定的文件或目录而引起的。当你在终端中执行一个程序时,系统会尝试在当前目录中查找该程序。如果找不到该程序,就会出现"bash: ./xxx : No such file or directory"的错误消息。 可能的原因和解决方法如下: 1. 文件或目录不存在:确保你输入的文件或目录名称是正确的,并且确保它们存在于当前目录中。你可以使用`ls`命令来查看当前目录中的文件和目录列表。 2. 权限问题:如果你没有执行该文件的权限,也会出现相同的错误。你可以使用`chmod`命令来更改文件的权限,例如`chmod +x xxx`。 3. 文件类型不正确:确保你要执行的文件是可执行文件。你可以使用`file`命令来检查文件类型,例如`file xxx`。 4. 环境变量问题:如果你的程序依赖于某些环境变量,而这些变量没有正确设置,也可能导致该错误。你可以使用`echo $PATH`命令来查看当前的环境变量路径。 请注意,以上是一些常见的解决方法,具体解决方法可能因情况而异。如果问题仍然存在,请提供更多的详细信息,以便我能够更好地帮助你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值