WAF的组网模式（WAF的部署位置）透明代理、反向代理、旁路监控、桥模式

WAF的组网模式（WAF的部署位置）透明代理与反向代理

透明代理：串接在用户网络中，可实现即插即用，无需用户更改网络设备与服务器配置。部署简单易用，应用于大部分用户网络中。
反向代理：用户访问的是服务器的真实的IP 地址，需要在交换机上面将用户访问服务器的http 流量通过策略路由的方式牵引到 WAF，策略路由的下一跳地址为 WAF 的前端地址，WAF 在接受到地址之后通过后端地址去请求真实的服务器。

（1）透明代理
透明代理部署模式支持透明串接部署方式。它的特点是以代理服务器的方式运行在网络中，用户以网站服务器的IP地址访问网站，不需要指定WAF的IP地址、端口等信息。它可实现即插即用，无需更改网站DNS和服务器配置。部署简单易用，应用于大部分用户网络中。

（2）反向代理（代理模式）
反向代理—代理模式为旁路部署，应用于复杂环境中，如设备无法直接串接的环境。部署时需要在用户网络设备上将域名解析到设备上或将地址映射到设备上。

（3）反向代理（牵引模式）
反向代理—牵引模式部署为旁路部署，应用于复杂环境中，如设备无法直接串接的环境。部署时不想更变域名解析。
部署时通过核心交换机或者网络防火墙做策略路由将访问服务器的流量牵引到WAF上。策略路由的下一跳地址为WAF的业务口IP地址，做策略路由时只需要将保护的服务器的IP+端口的流量牵引过来。
WAF只能处理HTTP/HTTPS协议，其他协议不会处理，如果将其他流量牵引到WAF上会导致其他流量丢弃的情况。

（4）旁路监控
只需要对于应用流量分析或日志审计，不需要应用防护。
采用旁路监控模式，在交换机做服务器端口流量镜像，将流量复制一份到WAF上，部署时不影响在线业务。

（4）桥模式
桥模式是真正意义上的透明模式，继承了入侵防御系统（IPS）的透明工作机制和代理模式的防护能力，串接在用户网络中，可实现即插即用，无需用户更改网络设备与服务器配置。工作时将流量复制一份到WAF硬件缓存中进行分析，而不需要像代理模式那样需要对TCP进行拆解。