浅析web应用防火墙的反向代理部署

浅析web应用防火墙的反向代理部署

现在，随着互联网的发展，越来越多用户对于网络的安全要求越来越高，对于安全设备的部署模式也需要根据不同场景的业务需要来进行调整。有一些客户为了对内网用户也隐藏自己真实服务器的ip地址，从而来防护各类http或https流量攻击，因此waf的反向代理部署模式应运而生。

什么是反向代理？

首先，我们需要了解什么是反向代理：反向代理是(Reverse Proxy)是以代理服务器的形式来接受来自Internet的请求,然后将请求转发给内部服务器;并从服务器得到响应返回给Internet的客户端,此时这个代理服务器对外表现和一个服务器是一样的。所以对于客户端而言，客户访问的反向代理设备的代理端口，不需要客户进行额外的配置，客户的数据只需要与代理端口进行交互，反向代理设备在与真实的服务器进行交互。

客户端与反向代理设备的数据交互是怎么交互的？

客户端-------web应用反向代理设备-----真实服务器

如图所示：

client先与waf的代理口G1/3完成三次握手

然后waf的代理口G1/3再与sever1完成三次握手

大家可以在这里思考一下，流量从客户端到服务器和流量从服务器到客户端的流量走向是否有区别？http，https与其他类型的流量走向是否也有区别呢？答案放在全文后后面

这样部署web应用防护墙和直连部署有什么区别呢？

由于客户需要提升服务器的安全性，需要对外和对内所有的用户均隐藏服务器的真实ip地址，让攻击者无法得到真实的服务器ip地址
由于代理ip只有一个，如果有多台服务器集群需要防护，则需要修改和区分需要防护服务器的http和https端口，用端口号来区别对应的站点流量
相较于串联部署，反向代理改变了网络拓扑结构。需要交换机提供一个额外的接口给waf。
只有http和https流量会经过waf，其他类型的流量则直接发送给服务器，相较于串联部署模式可以减少对于服务器的压力。

对于前面的提问：

流量从客户端到服务器和流量从服务器到客户端的流量走向是否有区别？

答：是没有区别的

http，https与其他类型的流量走向是否也有区别呢？

http，https类型流量走向：客户端---web应用防火墙---服务器

非http，https流量走向：客户端---服务器

可能会有小伙伴会提问TLS类型的流量web应用防火墙能防护吗？交换机该怎么进行配置呢？大佬们可以评论区畅所欲言。。。