隨著電子商務(wù)、網(wǎng)上銀行、電子政務(wù)的盛行,WEB服務(wù)器承載的業(yè)務(wù)價(jià)值越來(lái)越高,WEB服務(wù)器所面臨的安全威脅也隨之增大,因此,針對(duì)WEB應(yīng)用層的防御成為必然趨勢(shì),WAF(Web Application Firewall,WEB應(yīng)用防火墻)產(chǎn)品開(kāi)始流行起來(lái)。
WAF產(chǎn)品按照形態(tài)劃分可以分為三種,硬件、軟件及云服務(wù)。軟件WAF由于功能及性能方面的缺陷,已經(jīng)逐漸被市場(chǎng)所淘汰。云WAF近兩年才剛剛興起,產(chǎn)品及市場(chǎng)也都還未成熟。與前兩種形態(tài)相比,硬件WAF經(jīng)過(guò)多年的應(yīng)用,在各方面都相對(duì)成熟及完善,也是目前市場(chǎng)中WAF產(chǎn)品的主流形態(tài)。
既然是硬件產(chǎn)品,網(wǎng)絡(luò)部署對(duì)于用戶(hù)來(lái)說(shuō),是一個(gè)必須要考慮的問(wèn)題。縱觀國(guó)內(nèi)外的硬件WAF產(chǎn)品,通常一個(gè)產(chǎn)品會(huì)支持多種部署模式。這也給用戶(hù)在購(gòu)買(mǎi)或部署產(chǎn)品時(shí)帶來(lái)了困惑。以下將對(duì)硬件WAF幾種常見(jiàn)的部署模式做一個(gè)簡(jiǎn)單介紹,希望可以幫助廣大用戶(hù)解除困惑。
WAF部署位置
通常情況下,WAF放在企業(yè)對(duì)外提供網(wǎng)站服務(wù)的DMZ區(qū)域或者放在數(shù)據(jù)中心服務(wù)區(qū)域,也可以與防火墻或IPS等網(wǎng)關(guān)設(shè)備串聯(lián)在一起(這種情況較少)。總之,決定WAF部署位置的是WEB服務(wù)器的位置。因?yàn)閃EB服務(wù)器是WAF所保護(hù)的對(duì)象。部署時(shí)當(dāng)然要使WAF盡量靠近WEB服務(wù)器。
WAF部署模式分類(lèi)
根據(jù)WAF工作方式及原理不同可以分為四種工作模式:透明代理模式、反向代理模式、路由代理模式及端口鏡像模式。前三種模式也被統(tǒng)稱(chēng)為在線(xiàn)模式,通常需要將WAF串行部署在WEB服務(wù)器前端,用于檢測(cè)并阻斷異常流量。端口鏡像模式也稱(chēng)為離線(xiàn)模式,部署也相對(duì)簡(jiǎn)單,只需要將WAF旁路接在WEB服務(wù)器上游的交換機(jī)上,用于只檢測(cè)異常流量。
圖1:WAF部署模式分類(lèi)
WAF幾種部署模式的技術(shù)原理
工作模式技術(shù)原理
透明代理模式(也稱(chēng)網(wǎng)橋代理模式)透明代理模式的工作原理是,當(dāng)WEB客戶(hù)端對(duì)服務(wù)器有連接請(qǐng)求時(shí),TCP連接請(qǐng)求被WAF截取和監(jiān)控。WAF偷偷的代理了WEB客戶(hù)端和服務(wù)器之間的會(huì)話(huà),將會(huì)話(huà)分成了兩段,并基于橋模式進(jìn)行轉(zhuǎn)發(fā)。從WEB客戶(hù)端的角度看,WEB客戶(hù)端仍然是直接訪問(wèn)服務(wù)器,感知不到WAF的存在;從WAF工作轉(zhuǎn)發(fā)原理看和透明網(wǎng)橋轉(zhuǎn)發(fā)一樣,因而稱(chēng)之為透明代理模式,又稱(chēng)之為透明橋模式。
反向代理模式反向代理模式是指將真實(shí)服務(wù)器的地址映射到反向代理服務(wù)器上。此時(shí)代理服務(wù)器對(duì)外就表現(xiàn)為一個(gè)真實(shí)服務(wù)器。由于客戶(hù)端訪問(wèn)的就是WAF,因此在WAF無(wú)需像其它模式(如透明和路由代理模式)一樣需要采用特殊處理去劫持客戶(hù)端與服務(wù)器的會(huì)話(huà)然后為其做透明代理。當(dāng)代理服務(wù)器收到HTTP的請(qǐng)求報(bào)文后,將該請(qǐng)求轉(zhuǎn)發(fā)給其對(duì)應(yīng)的真實(shí)服務(wù)器。后臺(tái)服務(wù)器接收到請(qǐng)求后將響應(yīng)先發(fā)送給WAF設(shè)備,由WAF設(shè)備再將應(yīng)答發(fā)送給客戶(hù)端。這個(gè)過(guò)程和前面介紹的透明代理其工作原理類(lèi)似,唯一區(qū)別就是透明代理客戶(hù)端發(fā)出的請(qǐng)求的目的地址就直接是后臺(tái)的服務(wù)器,所以透明代理工作方式不需要在WAF上配置IP映射關(guān)系。
路由代理模式路由代理模式,它與網(wǎng)橋透明代理的唯一區(qū)別就是該代理工作在路由轉(zhuǎn)發(fā)模式而非網(wǎng)橋模式,其它工作原理都一樣。由于工作在路由(網(wǎng)關(guān))模式因此需要為WAF的轉(zhuǎn)發(fā)接口配置IP地址以及路由。
端口鏡像模式端口鏡像模式工作時(shí),WAF只對(duì)HTTP流量進(jìn)行監(jiān)控和報(bào)警,不進(jìn)行攔截阻斷。該模式需要使用交換機(jī)的端口鏡像功能,也就是將交換機(jī)端口上的HTTP流量鏡像一份給WAF。對(duì)于WAF而言,流量只進(jìn)不出。
WAF幾種部署模式的典型拓?fù)?/strong>
工作模式典型拓?fù)?/strong>
透明代理模式(也稱(chēng)網(wǎng)橋代理模式)
反向代理模式
路由代理模式
端口鏡像模式
WAF幾種部署模式的優(yōu)缺點(diǎn)
工作模式優(yōu)缺點(diǎn)
透明代理模式(也稱(chēng)網(wǎng)橋代理模式)這種部署模式對(duì)網(wǎng)絡(luò)的改動(dòng)最小,可以實(shí)現(xiàn)零配置部署。另外通過(guò)WAF的硬件Bypass功能在設(shè)備出現(xiàn)故障或者掉電時(shí)可以不影響原有網(wǎng)絡(luò)流量,只是WAF自身功能失效。缺點(diǎn)是網(wǎng)絡(luò)的所有流量(HTTP和非HTTP)都經(jīng)過(guò)WAF對(duì)WAF的處理性能有一定要求,采用該工作模式無(wú)法實(shí)現(xiàn)服務(wù)器負(fù)載均衡功能。
反向代理模式這種部署模式需要對(duì)網(wǎng)絡(luò)進(jìn)行改動(dòng),配置相對(duì)復(fù)雜,除了要配置WAF設(shè)備自身的地址和路由外,還需要在WAF上配置后臺(tái)真實(shí)WEB服務(wù)器的地址和虛地址的映射關(guān)系。另外如果原來(lái)服務(wù)器地址就是全局地址的話(huà)(沒(méi)經(jīng)過(guò)NAT轉(zhuǎn)換)那么通常還需要改變?cè)蟹?wù)器的IP地址以及改變?cè)蟹?wù)器的DNS解析地址。采用該模式的優(yōu)點(diǎn)是可以在WAF上同時(shí)實(shí)現(xiàn)負(fù)載均衡。
路由代理模式這種部署模式需要對(duì)網(wǎng)絡(luò)進(jìn)行簡(jiǎn)單改動(dòng),要設(shè)置該設(shè)備內(nèi)網(wǎng)口和外網(wǎng)口的IP地址以及對(duì)應(yīng)的路由。工作在路由代理模式時(shí),可以直接作為WEB服務(wù)器的網(wǎng)關(guān),但是存在單點(diǎn)故障問(wèn)題,同時(shí)也要負(fù)責(zé)轉(zhuǎn)發(fā)所有的流量。該種工作模式也不支持服務(wù)器負(fù)載均衡功能。
端口鏡像模式這種部署模式不需要對(duì)網(wǎng)絡(luò)進(jìn)行改動(dòng),但是它僅對(duì)流量進(jìn)行分析和告警記錄,并不會(huì)對(duì)惡意的流量進(jìn)行攔截和阻斷,適合于剛開(kāi)始部署WAF時(shí),用于收集和了解服務(wù)器被訪問(wèn)和被攻擊的信息,為后續(xù)在線(xiàn)部署提供優(yōu)化配置參考。這種部署工作模式,對(duì)原有網(wǎng)絡(luò)不會(huì)有任何影響。