背景

随着网上银行、手机银行、电子商城等互联网及移动金融应用的兴起，针对WEB类应用的攻击手段也层出不穷，据统计，2019年出现攻击方式中，针对WEB类的攻击占到85.4%左右，相对而言遥遥领先于其他攻击手段。面对如此多的互联网攻击威胁，传统的通过运维发现、开发项目组从代码层面进行修复漏洞的效率已经远远低于漏洞被利用的效率，于是，一种新的专用于WEB防护的安全产品由此而生——WAF（WEBAPPLICATION FIREWALL），也叫应用防火墙。

虽然WAF应用防火墙叫做防火墙，可是其工作原理和传统防火墙截然不同。传统防火墙主要工作在网络层和传输层，针对源目的地址，源目的端口和网络协议这五元组进行规则匹配过滤。而应用防火墙工作在应用层，其主要通过中间代理的方式，截取网络通信中的HTTP流量，再通过其过滤规则进行分析和拦截，这里要提醒的是，其防护效果取决与对应用逻辑的理解，与应用逻辑结合越是紧密，防护效果越好，WAF应用防火墙是应用层面安全防护的首道防线。

WAF应用防火墙部署难题

WAF应用防火墙虽然可以极大地提升应用的安全等级，但是如何部署却让很多网络架构设计者犯难，实际部署过程中面临的问题主要有三点：

1.与其他安全设备旁路部署的方式不同，应用防火墙的工作原理要求其必须串行部署在Web服务器前面；对于网站启用SSL加解密的，需要部署在SSL解密设备之后、WEB服务器之前，而这样的部署会极大的增加网络的复杂度，对应急排错造成困难；

2.对于存量的WEB类互联网系统，新进行串联部署WAF设备，意味着要将现有网络连接通路断开，在变更的过程中可能带来业务的中断，对变更的方案设计和实施工艺也带来很大的挑战性；

3.应用防火墙和应用逻辑结合紧密，如果策略配置不当，或者WAF应用防火墙本身产品BUG，很容易造成正常数据包被误拦截的情况，导致业务影响事件。

WAF应用防火墙的工作模式

首先介绍一下WAF应用防火墙的工作模式、原理和典型部署架构。

1.旁路镜像方式

旁路镜像模式通过镜像方式将请求流量吐给WAF应用防火墙，而WAF只能对访问流量进行检测和报警，无法实时拦截。由于失去了主动验证和拦截的能力，旁路部署的WAF应用防火墙防护能力大大降低，一般不建议这么部署。但是从运维的角度说，旁路部署是最安全的部署方式，如果只是想学习和测试WAF应用防火墙对WEB流量的检测机制，可以尝试旁路方式。4

 2.二层透明模式部署

WAF应用防火墙可以网桥方式工作在二层网络，通过截取请求流量来获取访问信息。WAF应用防火墙本身不需要配置IP地址，前端请求可以直接发到后端服务器，WAF设备对两者是透明的，可以当作一根网线，这种部署方式简单，零配置，如果设备故障可以进行bypass旁路直通，非常适合简单网络部署。

但是一般大型互联网企业网络都是全冗余架构，意味着从客户端到服务器绝不会只有一条网络路径，那么如果要按照二层代理方式会存在三个问题：一是每条路径都需要部署WAF应用防火墙将极大地提升成本；二是前后请求可能从不同的路径经过不同的WAF应用防火墙，而WAF应用防火墙之间的数据并没有同步机制，那么与上下文相关的策略将会失效，导致防护能力降低；三是网络路径确定了，设备数量就确定了，无法再进行灵活的扩容。

二层代理方式部署，主要考虑部署在网络流量的集中点或者WEB服务器前端，因此可以考虑部署在负载均衡前面或者WEB服务器前面。

（1）部署在负载均衡前端，WAF应用防火墙需要串联在交换机和负载均衡的物理链路上，由于一般网络中部署多台负载均衡集群，每台负载均衡与交换机可能有多条链路连接，因此需要串联多台WAF应用防火墙。负载均衡备机前端串联的WAF设备由于没有流量经过，成为了热备机，形成一定的资源浪费。

（2）WEB服务器前端，WAF应用防火墙串联部署在交换机和WEB服务器的物理链路上，WAF应用防火墙设备需要与WEB服务器一一对应，由于WAF应用防火墙设备价格远高于WEB服务器，这种部署将带来投入成本增加，也不利于后续的服务器扩容。

3．代理模式

代理模式是将真实服务器的地址映射到代理服务器上，客户端看起来，访问的就是代理服务器的地址，此种模式下，WAF应用防火墙分别与客户端和后面的服务器建立TCP连接，所有流量通过前端网络连接发送给WAF应用防火墙，在WAF处理后再通过后端连接转发到后台服务器。

代理模式的典型部署架构如下，采用多层负载均衡实现SSL、WAF和WEB的集群部署，可以降低三层设备之间的耦合性，提供灵活扩容的能力。

按照不同的连接方式还可以具体分为反向代理和路由代理。

（1）反向代理部署

反向代理模式下，WAF应用防火墙与交换机之间仅需单VLAN互联，WAF防火墙与WEB服务器部署在同一VLAN，默认路由指向前端负载均衡。WEB服务器从网络层仅能观察到WAF接口的地址，无法直接观察到客户端源地址，建议SSL或者负载均衡层面在HTTP头中插入XFF字段，将源地址插入进去。

（2）路由代理部署

在某些情况下，服务器需要从网络层观察到客户端的IP地址，这时候需要用到路由代理模式，路由代理依然属于代理模式的一种。WAF应用防火墙通过出入两个VLAN与交换机连接，WAF应用防火墙需要配置出入向的路由，使得流量经过WAF后通过路由方式到达后端WEB服务器。此时，WAF转发流量将保留源地址，使得WEB服务器可以直接观察到客户端的IP地址。

由于负载均衡、SSL、WAF均可以工作在代理模式，目前市场上不乏多功能合一的产品，于是其架构部署也有一些变种的方式：

负载均衡具备SSL加解密功能，直接可以省略掉SSL层，问题是SSL不再具备横向扩展能力，随着业务量的增加，瓶颈将出现在负载均衡设备上；

SSL具备负载均衡功能，SSL可以直接给后面的WAF做负载，省略掉一层负载均衡。问题是要求WAF产品需要具备二层原路返回功能（autolasthop），如果无此能力，将会出现来回路径不一致的情况。另外，路径较为复杂，排错定位比较困难。

同时具备负载均衡、SSL、WAF能力，那么可以直接给WEB服务器做负载，架构极为简单，但是由于SSL加解密和WAF规则过滤都极其消耗设备性能，故只能对小业务量应用进行部署。

另外想说明的是，虽然所有WAF产品都自称具备SSL加解密能力，但是因为性能的原因以及实际部署时候解耦的要求，通常WAF厂商不会推荐在自身产品上启用SSL功能，所以这种方式仅推荐功能测试时使用。

上海云盾专注于提供新一代安全产品和服务，以纵深安全加速，护航数字业务的产品服务理念，替身和隐身的攻防思想，运用大数据、AI、零信任技术架构和健壮的全球网络资源，一站式解决数字业务的应用漏洞、黑客渗透、爬虫Bot、DDoS等安全威胁，满足合规要求，提高用户体验。其中Web安全加速产品，是一款专注保护游戏、电商、金融、医疗、门户等行业网站/APP/API业务免遭Web攻击、漏洞利用、系统入侵、内容篡改、后门、CC和DDoS攻击威胁的安全防护产品，支持HTTP、HTTPS和WebSocket协议，在抵御各类攻击的同时，保障网站业务的快速稳定访问。

例如，内容安全。过滤和替换应用系统中的敏感信息，支持定制专属敏感词库，避免因敏感信息导致业务系统被关停的风险。

例如，访客鉴权。通过算法签名对请求进行校验，可识别针对应用的各种CC攻击，适用于APP和API场景。

例如，智能调度。YUNDUN智能调度系统根据业务系统访客分布、全局边缘节点质量、源站线路、运营商分布、攻击数据等信息，解析就近最优线路节点， 兼顾安全和加速能力。