（1）部署在负载均衡前端，WAF应用防火墙需要串联在交换机和负载均衡的物理链路上，由于一般网络中部署多台负载均衡集群，每台负载均衡与交换机可能有多条链路连接，因此需要串联多台WAF应用防火墙 。负载均衡备机前端串联的WAF设备由于没有流量经过，成为了热备机，形成一定的资源浪费 。
（2）WEB服务器前端，WAF应用防火墙串联部署在交换机和WEB服务器的物理链路上，WAF应用防火墙设备需要与WEB服务器一一对应，由于WAF应用防火墙设备价格远高于WEB服务器，这种部署将带来投入成本增加，也不利于后续的服务器扩容 。
图3.二层部署架构二
3．代理模式
代理模式是将真实服务器的地址映射到代理服务器上，客户端看起来，访问的就是代理服务器的地址，此种模式下，WAF应用防火墙分别与客户端和后面的服务器建立TCP连接，所有流量通过前端网络连接发送给WAF应用防火墙，在WAF处理后再通过后端连接转发到后台服务器 。
代理模式的典型部署架构如下，采用多层负载均衡实现SSL、WAF和WEB的集群部署，可以降低三层设备之间的耦合性，提供灵活扩容的能力 。
图4.反向代理模式的典型部署架构
（1）反向代理部署
反向代理模式下，WAF应用防火墙与交换机之间仅需单VLAN互联，WAF防火墙与WEB服务器部署在同一VLAN，默认路由指向前端负载均衡 。WEB服务器从网络层仅能观察到WAF接口的地址，无法直接观察到客户端源地址，建议SSL或者负载均衡层面在HTTP头中插入XFF字段，将源地址插入进去 。
图5.反向代理模式下WAF的连接方式
（2）路由代理部署
在某些情况下，服务器需要从网络层观察到客户端的IP地址，这时候需要用到路由代理模式，路由代理依然属于代理模式的一种 。WAF应用防火墙通过出入两个VLAN与交换机连接，WAF应用防火墙需要配置出入向的路由，使得流量经过WAF后通过路由方式到达后端WEB服务器 。此时，WAF转发流量将保留源地址，使得WEB服务器可以直接观察到客户端的IP地址 。
图6.路由代理模式下WAF的连接方式
由于负载均衡、SSL、WAF均可以工作在代理模式，目前市场上不乏多功能合一的产品，于是其架构部署也有一些变种的方式：
负载均衡具备SSL加解密功能，直接可以省略掉SSL层，问题是SSL不再具备横向扩展能力，随着业务量的增加，瓶颈将出现在负载均衡设备上；
图7.负载均衡具备SSL加解密能力
SSL具备负载均衡功能，SSL可以直接给后面的WAF做负载，省略掉一层负载均衡 。问题是要求WAF产品需要具备二层原路返回功能（autolasthop），如果无此能力，将会出现来回路径不一致的情况 。另外，路径较为复杂，排错定位比较困难 。
图8.SSL具备负载均衡能力
同时具备负载均衡、SSL、WAF能力，那么可以直接给WEB服务器做负载，架构极为简单，但是由于SSL加解密和WAF规则过滤都极其消耗设备性能，故只能对小业务量应用进行部署 。
图9.全功能负载均衡
另外想说明的是，虽然所有WAF产品都自称具备SSL加解密能力，但是因为性能的原因以及实际部署时候解耦的要求，通常WAF厂商不会推荐在自身产品上启用SSL功能，所以这种方式仅推荐功能测试时使用 。
四 负载均衡策略设计
考虑到模型的通用性，我们还是推荐将WAF应用防火墙部署在路由代理模式下，回到其经典代理部署架构，要将WAF加入到现有的环境中，其实是在SSL集群层和WEB集群层中间新增WAF集群层，可以通过切换第二层负载均衡关联的地址池实现WAF集群的部署，这种方式切换可以基本实现业务零中断 。

• 射手男摩羯女 射手男摩羯女配对
• 威宁特产有哪些
• 没有身份证可以坐高铁吗
• 著名的创业者 著名的创业者有哪些人
• 成都淘大客网络科技有限公司 淘大客网络科技
• 螃蟹和石榴同食会有什么后果优质
• 迈克菲杀毒软件卸载了有影响吗 mcafee托管模式解除方法
• 猪猪侠片尾曲歌名叫什么 国漫的主题曲没有以前的味道
• 创业项目策划 创业项目策划书的编写的主要原则有
• 创业有什么风险 创业有什么风险,如何规避