根據實現方式的不同 WAF 可分為什么

根據實現方式的不同WAF可分為：

• 單機WAF：如ModSecurity、Naxsi等開源WAF模塊，或者使用Lua擴展的Web服務器功能，直接部署在每一臺目標Web服務器上，并整合到Web服務器軟件里面，如圖13-33所示。該模式支持HTTPS。如果Web服務器有多臺，需要在每一臺目標服務器上部署及配置。這種單機類型的WAF，比較適合個人站長使用（服務器數量少），不太適合大中型企業的規模化部署（試想，服務器數十萬或數百萬，如何進行管理和維護）。

• 中小型企業自建的擴展WAF：采用擴展Web服務器功能，配合云端管理政策的模式，如基于Nginx + Lua擴展實現，需要在每一臺目標Web服務器上部署，云管理的實現方式就比較多樣化了。對于每一臺需要保護的Web服務器來說，需要單獨安裝和配置擴展包。在規則的維護上，這種方案比單機模式簡化很多，管理員使用瀏覽器進行管理維護，在不新增Web服務器的情況下，還是比較方便的。

• 云WAF：使用云服務商或第三方WAF服務，工作在反向代理模式，通常和CDN一起使用。云WAF為了解密HTTPS流量，通常需要采用keyless方案，這種方案不需要租戶交出自己網站的私鑰，而是在用戶和云WAF之間啟用另外一張證書，在云WAF到真實服務器之間使用原來的證書。keyless方案是一種在安全和效率之間平衡的折中方案，適合對安全性要求不是很高的場景。

• 硬件WAF網關：工作在網絡層的硬件WAF，一般串行或旁路接入網絡，直接對網絡層IP包進行解包，默認不支持HTTPS。

• 軟件實現的WAF應用網關：應用網關（Application Gateway），或稱為反向代理服務器，早期只有統一接入、反向代理、負載均衡等功能，但隨著安全形勢的嚴峻，應用網關也開始加入安全特性。最典型的安全特性，就是WAF以及CC攻擊防御。加入安全特性的應用網關，充分利用了各個模塊的優勢，消除了傳統WAF的缺點，通常整合證書管理、HTTPS統一接入、WAF等功能。與硬件WAF網關相比，軟件實現的WAF網關除了可在自有機房部署，也可適用于云計算等場景下的部署。

回答所涉及的環境：聯想天逸510S、Windows 10。