web应用防火墙的部署方式

web应用防火墙也被称为网站应用级入侵防御系统，按照一些常规的定义，WAF是指通过一系列针对HTTP/HTTPS的安全策略专门为web应用提供保护的产品。它主要用于防御针对网络应用层的攻击，像SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。

同传统防火墙不同的是，web应用防火墙位于两个或多个网络之间，它们是实施网间访问控制的一组组建的集合，内部和外部网络之间的所有网络数据都必须经过防火墙，只有符合安全策略的数据才能通过防火墙，它工作再开放系统互连参考模型的网络层，通过地址转换、访问控制机器的状态检测等功能，对企业网络层数据进行保护。

Web应用防火墙的部署主要有透明模式、路由模式、旁路监控模式以及HA双击模式来满足用户的各种不同网络结构的应用需求。

1)透明部署方式是在Web服务器和防火墙之间插入WAF，在透明模式下，Web应用防火墙只对流经OSI应用层的数据进行分析，而对其他层的流量不作控制，因此透明模式的最大特点就是快速、方便、简单。

2)路由部署方式部署网桥透明模式的WAF的设备，其“透明”概念与网桥透明模式中相似，可以将其看做一个路由设备，将其作为路由器进行部署，同时确保要检测的HTTP流量(指定IP和端口)经过WAF设备即可。这种部署模式是网络安全防护中保护程度最高的，但是需要对防火墙和Web应用服务的路由设置做出一定的调整，对网络管理员的要求较高。

3)旁路部署模式是将WAF置于局域网交换机下，访问Web服务器的所有连接通过安全策略指向WAF网站保护。它的优点是对网络的影响较小，但是在该模式下，Web服务器无法获取访问者的真实IP地址。