web应用防火墙

web应用防火墙

如何选择web应用防火墙的工作模式

作者:企业邮箱       发布于:2014-03-31        点击量: 181
很多因素,包括:
•支持Web应用防火墙功能
•所需的网络拓扑结构
•积极/消极安全模型
•Web服务器配置

每个工作模式支持的功能:

1、需要最广泛的功能支持,请选择反向代理模式。
如果您所选择的操作模式不支持您需要的功能,如DoS保护或SSL / TLS卸载,您需要配置您的Web服务器或其他网络设备,以提供该功能。下表列出了所有模式/协议的功能。
  • 1、在反向代理模式中不支持完全配置同步。
  • 2、支持TCP SYN cookie的泛洪。
  • 3、只支持告警动作。
  • 4、需要你的Web应用程序中包含会话ID。
  • 5、不支持DSA加密的服务器证书。
  • 6、不支持Diffie-Hellman密钥交换
  • 7、PKI认证需要使用HTTPS。
       功能模式或HA模式所匹配的拓扑所需的物理拓扑结构由您所选择的操作模式而定。取决于你是否会操作一个高可用性(HA)Web应用防火墙设备的集群,拓扑也会不同。这是默认的操作模式,并且最常见的。大多数功能都支持向虚拟服务器的网络接口和IP地址发送请求并不能直接到达Web服务器,Web应用防火墙将全部启用NAT。
       由于反向代理模式的NAT,DNS A记录可能需要变化。,服务器会看到Web应用防火墙的IP,而不是源客户端的IP,所以验证服务器不适用源IP为基础的功能,例如速率限制或地域分析。

2、如果你希望在不更改IP和DNS的情况下部署设备,请使用透明模式。
       在反向代理模式默认情况下,设备将不会从虚拟服务器向受保护的后端服务器转发non-HTTP/HTTPS流量。(未扫描的协议基于IP的转发/路由被禁用。)
       Web应用防火墙应用第一个适用的策略,然后转发流量到匹配的Web服务器。
       Web应用防火墙记录日志,阻断,或者修改违反都根据所匹配策略执行。适用于不改变IP地址的情况。请求被发往Web服务器,而不是Web应用防火墙设备。比离线保护模式支持的功能多,但比反向代理少。
       举一个透明模式的例子,客户在Internet上通过Web应用防火墙设备端访问Web服务器。防火墙安装在Web应用防火墙设备与互联网之间规范non-HTTP/HTTPS流量。端口1连接到管理员的计算机。端口3连接到防火墙。端口4连接到Web服务器。端口3和端口4有没有自己的IP地址,并作为一个V-zone(桥)。因为端口3和端口4有bypass硬件支持,这种拓扑结构也可以让您在Web应用防火墙掉电的情况下实现bypass。
3、离线保护模式
       “离线”是这种模式的恰当描述。特点是改动最小。它不引入任何的延迟。但是有许多功能不支持。
       大多数企业不会永久部署离线保护模式.一般作为一种了解他们的网络服务器的漏洞的过度方式,之后他们将切换到另一个操作模式,一般是在线模式。
       Web应用防火墙从数据采集萠其络接口上接收流量(不管IP地址)并应用第一个适用的政策。因为它不与Web服务器相连,所以它不转发允许的流量。根据匹配政策和保护个人资料Web应用防火墙记录告警或阻止违法行为的日志。如果Web应用防火墙检测到恶意的请求时,它会发送一个TCP RST(复位)数据包通过阻塞端口的Web服务器和客户端试图终止连接。它不以其他方式修改的流量。(它不能实现一些功能例如:卸载SSL,负载平衡连接,或支持用户身份验证。)
       反向代理模式例举了另外一种拓扑,单一的Web应用防火墙设备已经换成了两台设备的集群主动-被动(HA)。在活动设备发生故障时,备用设备将替代故障设备的IP地址并接管故障设备的流量。

    本文由:web应用防火墙于(2014-03-31)发表了关于如何选择web应用防火墙的工作模式的文章 。如转载请注明出处:http://www.cdcy-mail.com

如果您对此感兴趣,可以通过以下联系方式与我们联系:

点击这里给我发消息成都区销售    点击这里给我发消息重庆区销售    点击这里给我发消息云贵区销售    点击这里给我发消息华南区销售 点击这里给我发消息华北区销售 点击这里给我发消息华东区销售

华为企业邮箱销售热线:400-0828-083

蜀ICP备11006316号-8

Copyright © 2020

版权所有 成都畅邮信息 xml txt html 成都民宿