WAF 部署模式分類有哪幾種

WAF 部署模式分類主要有以下幾種：

• 透明代理模式 (也稱網橋代理模式)

  透明代理模式的工作原理是，當 WEB 客戶端對服務器有連接請求時，TCP 連接請求被 WAF 截取和監控。WAF 偷偷的代理了 WEB 客戶端和服務器之間的會話，將會話分成了兩段，并基于橋模式進行轉發。從 WEB 客戶端的角度看，WEB 客戶端仍然是直接訪問服務器，感知不到 WAF 的存在；從 WAF 工作轉發原理看和透明網橋轉發一樣，因而稱之為透明代理模式，又稱之為透明橋模式。

• 反向代理模式

  反向代理模式是指將真實服務器的地址映射到反向代理服務器上。此時代理服務器對外就表現為一個真實服務器。由于客戶端訪問的就是 WAF，因此在 WAF 無需像其它模式 (如透明和路由代理模式) 一樣需要采用特殊處理去劫持客戶端與服務器的會話然后為其做透明代理。當代理服務器收到 HTTP 的請求報文后，將該請求轉發給其對應的真實服務器。后臺服務器接收到請求后將響應先發送給 WAF 設備，由 WAF 設備再將應答發送給客戶端。這個過程和前面介紹的透明代理其工作原理類似，唯一區別就是透明代理客戶端發出的請求的目的地址就直接是后臺的服務器，所以透明代理工作方式不需要在 WAF 上配置 IP 映射關系。

  反向代理又分為兩種模式，反向代理（代理模式）與反向代理（牽引模式）。

• 路由代理模式

  路由代理模式，它與網橋透明代理的唯一區別就是該代理工作在路由轉發模式而非網橋模式，其它工作原理都一樣。由于工作在路由 (網關) 模式因此需要為 WAF 的轉發接口配置 IP 地址以及路由。

• 旁路監控模式

  采用旁路監聽模式，在交換機做服務器端口鏡像，將流量復制一份到WAF上，部署時不影響在線業務。在旁路模式下WAF只會進行 告警而不阻斷 。

• 端口鏡像模式

  端口鏡像模式工作時，WAF 只對 HTTP 流量進行監控和報警，不進行攔截阻斷。該模式需要使用交換機的端口鏡像功能，也就是將交換機端口上的 HTTP 流量鏡像一份給 WAF。對于 WAF 而言，流量只進不出。

回答所涉及的環境：聯想天逸510S、Windows 10。