浅谈Imperva WAF 的部署方案

| 分类 安全工程师  | 标签 安全运维  安全架构 
部署型号 X6510
性能 峰值Web流量 <= 2G
部署模式 透明网桥 反向代理
部署位置(详细参考示意图) 串联在防火墙之后 同F5并联在同一交换机
部线模式 双线(网桥多进多出) 双线(多物理接口,多臂)
网络模式 二层 三层
部署需求 网络的集中接入点 F5增加配置为WAF进行负载均衡
流量不超过单台设备的性能峰值 需要梳理每个应用的访问域名清单
部署示意图 Image
优点 不需要更改现有的网络结构
不需要知道后端的应用类型
拥有较低的时延续
易于性能扩展
缺点 不易扩展 增加时延
改变网络结构
场景 维护成本(安全,运维) WAF配置简单,易于维护 WAF配置较复杂,可借助API实现自动化
非7层应用流量 不进行检测直接转发到后端服务器 所有经过流量一定会进行检测
宕机断电 断电直通,不影响后面的正常服务 无法透传,只能使用wafpool中的其他waf
防火墙地址映射后端服务器 无影响,均可选择性映射 无影响,均可选择性映射
SSL卸载 WAF需要导入应用的SSL证书解密HTTPS (影响性能,可能需要ssl加速卡) SSL在F5上卸载,WAF仅检测明文HTTP流量
结论 优先推荐透明网桥部署模式,其次选择反向代理模式; 在反向代理模式下,优先选择 双臂_KRP+LoadBalance_双线接单BL

其实针对反向代理的部署模式,单考虑接线情况就有3-4种部署方式。但是此处并不打算再做讨论了。

连续整理了一天关于最近工作中学习到的东西,虽然还有大部分在整理,但是晚上突然下起了雨,听着伍佰的《被动》,我还搞个蛋的技术。还是放松一下吧。记个Flag。

Flag & ToDo:

  • 工作中的感悟和那些年大哥们的教导
  • 数据安全架构阅读笔记
  • 再谈安全架构
  • 数据安全需要什么?
  • 浅谈KMS及HSM架构

上一篇     下一篇