應用網關防火墻有哪些優缺點

根據實現技術不同，各有優缺點：

• 旁路式：

  優點：部署簡單講waf設備通過一根網線直接連接到核心交換機上，就可以完成部署。第二個優點就是不影響網上，旁路主要是通過實時的從交換機上復制數據包，然后進行分解、分析有無攻擊行為。

  缺點：無法獨立完成防御功能，旁路式的實現方式無法完成對攻擊行為阻斷，必須通過防火墻的協助才能完成阻斷功能。丟包的概率較高，丟包率取決于當前網絡流量和WAF分析的效率:單位流量越大WAF處理速度越慢，丟包率就越大。無法支持HTTPS，不同的網站所采用的key都是不同的，所以旁路式的WAF是無法解析HTTPS數據包。

• 串聯式

  優點：部署簡單顧名思義，申聯就是串聯于網關處。可主動防御，由于是申聯的方式接入，所以所有訪問的數據都要先經過它的過濾器才可到達目的地。無丟包問題，串聯的方式決定了不可能存在丟數據的問題，

  缺點：數據流量成為瓶頸，網絡上的所有的數據包都要經過WAF，所以WAF支持帶寬就成為了現有網絡的最大帶寬。不支持HTPS，同樣無法解決HTTPS數據包。

• 代理式

  優點：成本低，實現成本低不需要硬件設備的投入，節省開支。可以實現主動防御，和串聯式硬件相同，只不過串聯的位置不同，一個是網關處，一個是網絡和服務器之間。無丟包問題，該模式的防火墻不存在丟包的問題。

  缺點：部署復雜，要在服務器上完成代理軟件，然后設置代理的端口和服務器的端口，dial先獲取請求然后再轉發服務器。不支持HTTPS，該模式的防火墻不支持HTTPS數據包的解析。

• 嵌入式

  優點：實現成本低，同樣無硬件的開支。可實現主動防御，工作于服務器內部，可以在數據處理之前進分析過濾。無丟包問題，串聯的特點決定了無丟包問題。支持HTTPS，由于系統工作于服務器內部，所以很方便可以獲取到解密之后的數據包，對HTTPS的支持也就水到渠成了。

  缺點：部署復雜，系統的部署要根據操作系統和服務器來進行相應的處理。

回答所涉及的環境：聯想天逸510S、Windows 10。