HQY

×

WAF部署方式对比(主流5种:透明桥、反向代理、旁路镜像、串接路由、云WAF)

hqy hqy 发表于2026-07-17 15:09:18 浏览7 评论0

抢沙发发表评论

一、五种部署模式原理&适用场景

1. 透明桥模式(二层串接,最常用本地硬件WAF)

部署位置:服务器网关/交换机中间,串在业务链路,二层转发,不改变原有IP网段
流量走向:用户→交换机→WAF(透明)→业务服务器
核心特点

  1. 无需改业务IP、路由,上线割接简单;
  2. 全流量过WAF,防护完整,支持阻断攻击;
  3. 无NAT,源IP真实透传,日志溯源准确;
  4. 故障可开启硬件bypass,断网风险可控。
    优点:改动最小、防护全覆盖、真实源IP、硬件WAF标配
    缺点:串接单点,bypass失效会断业务;不支持负载均衡多站分流
    适用:机房单业务集群、中小政企、线下硬件WAF(深信服、天融信、启明星辰)

2. 反向代理模式(七层代理,Web架构首选)


部署位置:业务前端,替代Nginx/Apache前置,WAF作为业务入口
流量走向:用户→WAF(代理)→后端应用服务器
核心特点

  1. 七层完整解析HTTP/HTTPS,SSL卸载、证书统一托管;
  2. 支持多域名、多后端负载均衡、URL精细防护;
  3. 可做动静分离、缓存、限流、CC防护优化;
  4. 源IP会被代理改写,需配置X-Forwarded-For还原真实IP。
    优点:防护粒度最细、SSL统一管理、负载均衡一体化、适合多网站
    缺点:需要修改业务访问入口,架构改动大;四层转发性能损耗更高
    适用:互联网Web站点、小程序/官网、自建Nginx前置、云主机自建WAF(NGINX+ModSecurity)

3. 旁路镜像模式(流量审计,仅检测不阻断)

部署位置:交换机镜像口,WAF只接收复制流量,不串主链路
流量走向:业务流量正常走原有链路;镜像复制一份流量到WAF分析
核心特点

  1. 不影响业务链路,无断网风险,零割接;
  2. 仅能检测、告警、溯源,无法实时阻断攻击
  3. 无法拦截CC、SQL注入等实时攻击,只能事后排查;
  4. 一般搭配防火墙联动阻断(下发黑名单)。
    优点:零业务影响、上线无风险、适合等保流量审计、存量业务临时评估
    缺点:无实时防御,防护能力残缺,仅辅助审计
    适用:等保合规流量审计、风险评估、内网业务、不敢改动生产链路的场景

4. 路由串接模式(三层串接,跨网段场景)

部署位置:三层网关,充当路由,业务网段与互联网分属不同网段
流量走向:外网→路由器→WAF(三层路由转发)→内网服务器
核心特点

  1. WAF具备三层路由、NAT功能,可做内外网地址转换;
  2. 支持多网段隔离,可划分安全区域;
  3. 必须调整内网路由/网关配置,割接工作量大;
  4. 同样支持bypass,全流量阻断防护。
    优点:三层隔离、支持NAT、多网段管控、边界一体化防护
    缺点:网络改造量大,需调整全局路由,运维复杂度高
    适用:多网段大型机房、IDC边界、内外网隔离场景

5. 云WAF(公有云/SAAS WAF,阿里云/腾讯云/华为云WAF)

部署位置:DNS解析接入,流量上云清洗中心
流量走向:用户DNS→云WAF节点→回源客户业务服务器
核心特点

  1. 无需本地硬件,零机房部署,弹性扩容;
  2. 云端超大带宽抗CC、DDoS,底层联动高防IP;
  3. 证书托管、Bot管理、爬虫拦截、地域封禁一站式;
  4. 回源存在延迟,内网业务无法使用。
    优点:抗大流量CC/DDoS、免硬件、弹性扩容、运维简单
    缺点:依赖外网,内网业务无法防护;域名需要修改DNS;有回源延迟
    适用:公网官网、电商、小程序、对外互联网业务

二、核心维度对比总表

对比维度
透明桥
反向代理
旁路镜像
三层路由
云SAAS WAF
流量介入方式
二层串接全流量
七层代理全流量
镜像复制流量
三层路由串接
DNS引流云端清洗
攻击阻断能力
实时阻断
实时阻断
仅告警,无法阻断
实时阻断
云端实时拦截
源IP保真
完整透传
需XFF配置还原
完整透传
NAT后需配置
回源XFF携带
SSL证书处理
透传,后端解密
统一卸载/加解密
无法解密HTTPS
后端解密
云端统一托管
业务改造量
小(无需改IP)
大(改访问入口)
极小(仅配镜像)
大(改路由网关)
中(修改DNS解析)
断网风险
有(依赖bypass)
有(WAF宕机无法访问)
无,不影响业务
有(依赖bypass)
极低,云端多活
CC/DDoS防御
硬件性能上限,抗小流量
中等,依赖服务器性能
无防护能力
硬件性能上限
极强,云端高防集群
多域名/多站点
支持,配置复杂
原生友好,负载均衡一体
支持审计
支持,网段划分复杂
原生适配海量域名
内网业务防护
支持
支持
支持
支持
不支持内网
典型产品
深信服、天融信硬件WAF
Nginx+ModSecurity、F5
所有硬件WAF镜像模式
山石、启明星辰边界WAF
阿里云WAF、腾讯云WAF

三、选型建议


  1. 线下机房、不想改业务IP、需要完整防护

     → 透明桥模式(首选)
  2. 多网站、需要统一SSL、负载均衡、精细化URL防护

     → 反向代理
  3. 仅做等保审计、不敢动生产链路、只需要告警溯源

     → 旁路镜像
  4. 多网段隔离、需要NAT做内外网转换

     → 三层路由串接
  5. 公网对外业务、面临大CC/DDoS、不想采购硬件

     → 云SAAS WAF
  6. 内网管理系统、无公网暴露

    透明桥/反向代理,不推荐云WAF、镜像仅做审计

四、补充组合方案(企业常用)

  1. 镜像审计+透明桥防护

    主链路透明桥实时拦截,镜像口同步流量做日志审计,兼顾防护与等保;
  2. 云WAF+本地WAF

    公网流量云端清洗大DDoS,回源后本地硬件WAF做深度Web攻击检测;
  3. 反向代理+旁路镜像

    Nginx前置WAF做业务防护,镜像流量同步日志平台溯源。


打赏

本文链接:https://www.kinber.cn/post/6717.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客