很多因素,包括:
•支持Web应用防火墙功能
•所需的网络拓扑结构
•积极/消极安全模型
•Web服务器配置
每个工作模式支持的功能:
1、需要最广泛的功能支持,请选择反向代理模式。
如果您所选择的操作模式不支持您需要的功能,如DoS保护或SSL / TLS卸载,您需要配置您的Web服务器或其他网络设备,以提供该功能。下表列出了所有模式/协议的功能。
-
1、在反向代理模式中不支持完全配置同步。
-
2、支持TCP SYN cookie的泛洪。
-
3、只支持告警动作。
-
4、需要你的Web应用程序中包含会话ID。
-
5、不支持DSA加密的服务器证书。
-
6、不支持Diffie-Hellman密钥交换
-
7、PKI认证需要使用HTTPS。
功能模式或HA模式所匹配的拓扑所需的物理拓扑结构由您所选择的操作模式而定。取决于你是否会操作一个高可用性(HA)Web应用防火墙设备的集群,拓扑也会不同。这是默认的操作模式,并且最常见的。大多数功能都支持向虚拟服务器的网络接口和IP地址发送请求并不能直接到达Web服务器,Web应用防火墙将全部启用NAT。
由于反向代理模式的NAT,DNS A记录可能需要变化。,服务器会看到Web应用防火墙的IP,而不是源客户端的IP,所以验证服务器不适用源IP为基础的功能,例如速率限制或地域分析。
2、如果你希望在不更改IP和DNS的情况下部署设备,请使用透明模式。
在反向代理模式默认情况下,设备将不会从虚拟服务器向受保护的后端服务器转发non-HTTP/HTTPS流量。(未扫描的协议基于IP的转发/路由被禁用。)
Web应用防火墙应用第一个适用的策略,然后转发流量到匹配的Web服务器。
Web应用防火墙记录日志,阻断,或者修改违反都根据所匹配策略执行。适用于不改变IP地址的情况。请求被发往Web服务器,而不是Web应用防火墙设备。比离线保护模式支持的功能多,但比反向代理少。
举一个透明模式的例子,客户在Internet上通过Web应用防火墙设备端访问Web服务器。防火墙安装在Web应用防火墙设备与互联网之间规范non-HTTP/HTTPS流量。端口1连接到管理员的计算机。端口3连接到防火墙。端口4连接到Web服务器。端口3和端口4有没有自己的IP地址,并作为一个V-zone(桥)。因为端口3和端口4有bypass硬件支持,这种拓扑结构也可以让您在Web应用防火墙掉电的情况下实现bypass。
3、离线保护模式
“离线”是这种模式的恰当描述。特点是改动最小。它不引入任何的延迟。但是有许多功能不支持。
大多数企业不会永久部署离线保护模式.一般作为一种了解他们的网络服务器的漏洞的过度方式,之后他们将切换到另一个操作模式,一般是在线模式。
Web应用防火墙从数据采集萠其络接口上接收流量(不管IP地址)并应用第一个适用的政策。因为它不与Web服务器相连,所以它不转发允许的流量。根据匹配政策和保护个人资料Web应用防火墙记录告警或阻止违法行为的日志。如果Web应用防火墙检测到恶意的请求时,它会发送一个TCP RST(复位)数据包通过阻塞端口的Web服务器和客户端试图终止连接。它不以其他方式修改的流量。(它不能实现一些功能例如:卸载SSL,负载平衡连接,或支持用户身份验证。)
反向代理模式例举了另外一种拓扑,单一的Web应用防火墙设备已经换成了两台设备的集群主动-被动(HA)。在活动设备发生故障时,备用设备将替代故障设备的IP地址并接管故障设备的流量。
本文由:web应用防火墙于(2014-03-31)发表了关于
如何选择web应用防火墙的工作模式的文章
。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
成都区销售
重庆区销售
云贵区销售
华南区销售
华北区销售
华东区销售
华为企业邮箱销售热线:400-0828-083