WAF火爆登场,各式各样的应用防火墙层出不穷。由存在型态上来分,可以为硬件式和软件式;根据技术原理的不同,硬件型态的又分为旁路式和串联式,软件型态的又分为代理式和嵌入式。四种不同实现技术,各有其优缺点,下面将一一分别解说。
一、硬件型态
1. 旁路式
优点:
部署简单:将WAF
不影响网速:旁路式主要是通过实时的从交换机上复制数据包,然后进行分解,并分析有无攻击行为。
缺点:
无法独立完成防御功能:旁路式的实现方式无法完成对攻击行为阻断,必须通过防火墙的协助才能完成阻断功能。
丟包的概率较高:丢包率取决于当前网络流量和WAF 分析的效率;单位流量越大WAF
无法支持HTTPS :对于不同的网站采用的key 都是不一样的,所以旁路式的WAF 是无法解析HTTPS
免费使用:
无
2. 串联式(网关式)
优点:
部署简单:顾名思义,串联就是串联于网关处。
可主动防御:由于是串联的方式接入,所以所有访问的数据都要先经过它的过滤器才可到达目的地。
无丟包问题:串联的方式决定了不可能存在丢数据的问题。
缺点:
数据流量成为瓶颈:网络上的所有的数据包都要经过WAF ,所以WAF
不支持HTTPS :同样无法解决HTTPS
免费使用:
无
二、软件型态
1. 代理式
优点:
实现成本低:不需要硬件设备的投入,节省硬件开支。
可实现主动防御:有串联式的硬件一样,只不过串联的位值不同,一个是网关处,一个是网络和服务器之间。
无丟包问题:同样不存在丢包的问题。
缺点:
部署复杂:要在服务器上完成代理软件,然后设置代理的端品和服务器的端品,让代理先获取请求然后再转发服务器。
不支持HTTPS :同样无法持HTTPS
免费使用:
国外Web Wall 1.2.07 ,下载地址:http://download.cnet.com/Web-Wall/3000-10435_4-10544302.html
2. 嵌入式
优点:
实现成本低:同样无硬件的开支。
可实现主动防御:工作于服务器内部,可以在数据处理之前进分析过滤。
无丟包问题:串联的特点决定了无丢包问题。
支持HTTPS :由于系统工作于服务器内部,所以很方便可以获取到解密之后的数据包,对HTTPS
缺点:
部署复杂:系统的部署要根据操作系统和服务器来进行相应的处理。
免费使用:
国内的InforGuard WebWall 提供免费版本
