透明代理和反向代理



透明代理和反向代理

1. 传统网络：

   透明代理：

   
   

                                                  

   实现机制：划分Vlan

   反向代理：

   
   

实现机制：

配置DNS解析以及WAF中配置防护Web服务器的NAT

 

1. SDN环境下：

   透明代理和反向代理都是通过流牵引方式进行，牵引流量是通过SDN控制器下发流表实现。区别在于，透明代理是二层，来回流量都需要牵引过WAF，此时可以把WAF看成一个交换机，最后一步牵引无需对数据包的匹配域进行修改。反向代理是三层，仅需要将来的流量进行牵引即可，最后需要将数据包的匹配域进行修改，类似于流量劫持。

    

   透明代理模式(也称网桥代理模式)这种部署模式对网络的改动最小，可以实现零配置部署。另外通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量，只是WAF自身功能失效。缺点是网络的所有流量(HTTP和非HTTP)都经过WAF对WAF的处理性能有一定要求，采用该工作模式无法实现服务器负载均衡功能。

   　　反向代理模式这种部署模式需要对网络进行改动，配置相对复杂，除了要配置WAF设备自身的地址和路由外，还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话(没经过NAT转换)那么通常还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。采用该模式的优点是可以在WAF上同时实现负载均衡。