防火墙部署有哪些位置 防火墙部署模式

一 背景

防火墙部署有哪些位置 防火墙部署模式

文章插图
【防火墙部署有哪些位置 防火墙部署模式】随着网上银行、手机银行、电子商城等互联网及移动金融应用的兴起,针对WEB类应用的攻击手段也层出不穷,据统计,2019年出现攻击方式中,针对WEB类的攻击占到85.4%左右,相对而言遥遥领先于其他攻击手段 。面对如此多的互联网攻击威胁,传统的通过运维发现、开发项目组从代码层面进行修复漏洞的效率已经远远低于漏洞被利用的效率,于是,一种新的专用于WEB防护的安全产品由此而生——WAF(WEBAPPLICATION FIREWALL),也叫应用防火墙 。
虽然WAF应用防火墙叫做防火墙,可是其工作原理和传统防火墙截然不同 。传统防火墙主要工作在网络层和传输层,针对源目的地址,源目的端口和网络协议这五元组进行规则匹配过滤 。而应用防火墙工作在应用层,其主要通过中间代理的方式,截取网络通信中的HTTP流量,再通过其过滤规则进行分析和拦截,这里要提醒的是,其防护效果取决于对应用逻辑的理解,与应用逻辑结合越是紧密,防护效果越好,WAF应用防火墙是应用层面安全防护的首道防线 。
二 WAF应用防火墙部署难题
WAF应用防火墙虽然可以极大地提升应用的安全等级,但是如何部署却让很多网络架构涉及者犯难,实际部署过程中面临的问题主要有三点:
与其他安全设备旁路部署的方式不同,应用防火墙的工作原理要求其必须串行部署在Web服务器前面;对于网站启用SSL加解密的,需要部署在SSL解密设备之后、WEB服务器之前,而这样的部署会极大的增加网络的复杂度,对应急排错造成困难;对于存量的WEB类互联网系统,新进行串联部署WAF设备,意味着要将现有网络连接通路断开,在变更的过程中可能带来业务的中断,对变更的方案设计和实施工艺也带来很大的挑战性;应用防火墙和应用逻辑结合紧密,如果策略配置不当,或者WAF应用防火墙本身产品BUG,很容易造成正常数据包被误拦截的情况,导致业务影响事件 。三 WAF应用防火墙的工作模式
首先介绍一下WAF应用防火墙的工作模式、原理和典型部署架构 。
1.旁路镜像方式
旁路镜像模式通过镜像方式将请求流量吐给WAF应用防火墙,而WAF只能对访问流量进行检测和报警,无法实时拦截 。由于失去了主动验证和拦截的能力,旁路部署的WAF应用防火墙防护能力大大降低,一般不建议这么部署 。但是从运维的角度说,旁路部署是最安全的部署方式,如果只是想学习和测试WAF应用防火墙对WEB流量的检测机制,可以尝试旁路方式 。典型部署如下:
图1.旁路方式部署WAF应用防火墙
2.二层透明模式部署
WAF应用防火墙可以网桥方式工作在二层网络,通过截取请求流量来获取访问信息 。WAF应用防火墙本身不需要配置IP地址,前端请求可以直接发到后端服务器,WAF设备对两者是透明的,可以当作一根网线,这种部署方式简单,零配置,如果设备故障可以进行bypass旁路直通,非常适合简单网络部署 。
但是一般大型互联网企业网络都是全冗余架构,意味着从客户端到服务器绝不会只有一条网络路径,那么如果要按照二层代理方式会存在三个问题:一是每条路径都需要部署WAF应用防火墙将极大地提升成本;二是前后请求可能从不同的路径经过不同的WAF应用防火墙,而WAF应用防火墙之间的数据并没有同步机制,那么与上下文相关的策略将会失效,导致防护能力降低;三是网络路径确定了,设备数量就确定了,无法再进行灵活的扩容 。
二层代理方式部署,主要考虑部署在网络流量的集中点或者WEB服务器前端,因此可以考虑部署在负载均衡前面或者WEB服务器前面: