通常情况,WAF的部署位置在防火墙和WEB服务器群之间,对WEB服务器群的出入流量进行有效监控,从而确保WEB应用的安全,如下图1所示。
当前,在运营商增值业务系统、政府门户网站、网上银行等基于Web的关键应用中,普遍存在部署WAF的需求。
图1:WAF部署位置
WAF具体接入网络的方式,一般采用透明串接方式,也可以采用旁挂方式。如下所示。
图2:透明串接方式
图3:旁挂方式
注:旁挂方式中,交换机上要配置一条静态路由,该路由的目标地址是被保护的服务器,下一跳地址是WAF的WAN口地址,将访问被保护服务器的流量牵引到WAF ;同时,让WAF的WAN口与交换机连接的接口所属VLAN和服务器与交换机连接接口所属VLAN相同, WAF清洗后的安全流量走二层转发回注到服务器; 从服务器侧看到的转发HTTP请求,源IP始终为WAF的WAN口IP地址,这样确保服务器返回的HTTP Response流量始终经过WAF。
【编辑推荐】