一、五种部署模式原理&适用场景
1. 透明桥模式(二层串接,最常用本地硬件WAF)
部署位置:服务器网关/交换机中间,串在业务链路,二层转发,不改变原有IP网段
流量走向:用户→交换机→WAF(透明)→业务服务器
核心特点
无需改业务IP、路由,上线割接简单; 全流量过WAF,防护完整,支持阻断攻击; 无NAT,源IP真实透传,日志溯源准确; 故障可开启硬件bypass,断网风险可控。
优点:改动最小、防护全覆盖、真实源IP、硬件WAF标配
缺点:串接单点,bypass失效会断业务;不支持负载均衡多站分流
适用:机房单业务集群、中小政企、线下硬件WAF(深信服、天融信、启明星辰)
2. 反向代理模式(七层代理,Web架构首选)
部署位置:业务前端,替代Nginx/Apache前置,WAF作为业务入口
流量走向:用户→WAF(代理)→后端应用服务器
核心特点
七层完整解析HTTP/HTTPS,SSL卸载、证书统一托管; 支持多域名、多后端负载均衡、URL精细防护; 可做动静分离、缓存、限流、CC防护优化; 源IP会被代理改写,需配置X-Forwarded-For还原真实IP。
优点:防护粒度最细、SSL统一管理、负载均衡一体化、适合多网站
缺点:需要修改业务访问入口,架构改动大;四层转发性能损耗更高
适用:互联网Web站点、小程序/官网、自建Nginx前置、云主机自建WAF(NGINX+ModSecurity)
3. 旁路镜像模式(流量审计,仅检测不阻断)
部署位置:交换机镜像口,WAF只接收复制流量,不串主链路
流量走向:业务流量正常走原有链路;镜像复制一份流量到WAF分析
核心特点
不影响业务链路,无断网风险,零割接; 仅能检测、告警、溯源,无法实时阻断攻击; 无法拦截CC、SQL注入等实时攻击,只能事后排查; 一般搭配防火墙联动阻断(下发黑名单)。
优点:零业务影响、上线无风险、适合等保流量审计、存量业务临时评估
缺点:无实时防御,防护能力残缺,仅辅助审计
适用:等保合规流量审计、风险评估、内网业务、不敢改动生产链路的场景
4. 路由串接模式(三层串接,跨网段场景)
部署位置:三层网关,充当路由,业务网段与互联网分属不同网段
流量走向:外网→路由器→WAF(三层路由转发)→内网服务器
核心特点
WAF具备三层路由、NAT功能,可做内外网地址转换; 支持多网段隔离,可划分安全区域; 必须调整内网路由/网关配置,割接工作量大; 同样支持bypass,全流量阻断防护。
优点:三层隔离、支持NAT、多网段管控、边界一体化防护
缺点:网络改造量大,需调整全局路由,运维复杂度高
适用:多网段大型机房、IDC边界、内外网隔离场景
5. 云WAF(公有云/SAAS WAF,阿里云/腾讯云/华为云WAF)
部署位置:DNS解析接入,流量上云清洗中心
流量走向:用户DNS→云WAF节点→回源客户业务服务器
核心特点
无需本地硬件,零机房部署,弹性扩容; 云端超大带宽抗CC、DDoS,底层联动高防IP; 证书托管、Bot管理、爬虫拦截、地域封禁一站式; 回源存在延迟,内网业务无法使用。
优点:抗大流量CC/DDoS、免硬件、弹性扩容、运维简单
缺点:依赖外网,内网业务无法防护;域名需要修改DNS;有回源延迟
适用:公网官网、电商、小程序、对外互联网业务
二、核心维度对比总表
三、选型建议
线下机房、不想改业务IP、需要完整防护
→ 透明桥模式(首选) 多网站、需要统一SSL、负载均衡、精细化URL防护
→ 反向代理 仅做等保审计、不敢动生产链路、只需要告警溯源
→ 旁路镜像 多网段隔离、需要NAT做内外网转换
→ 三层路由串接 公网对外业务、面临大CC/DDoS、不想采购硬件
→ 云SAAS WAF 内网管理系统、无公网暴露
透明桥/反向代理,不推荐云WAF、镜像仅做审计
四、补充组合方案(企业常用)
镜像审计+透明桥防护
主链路透明桥实时拦截,镜像口同步流量做日志审计,兼顾防护与等保; 云WAF+本地WAF
公网流量云端清洗大DDoS,回源后本地硬件WAF做深度Web攻击检测; 反向代理+旁路镜像
Nginx前置WAF做业务防护,镜像流量同步日志平台溯源。
本文链接:https://kinber.cn/post/6717.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:

支付宝微信扫一扫,打赏作者吧~
