Web应用防护系统技术原理

随着计算及业务逐渐向数据中心高度集中发展，Web业务平台已经在各类政府、企业机构的核心业务区域得到广泛应用，Web业务的迅速发展也引起了黑客们的强烈关注，他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。Web应用防护系统的出现，给当前的安全市场打了一针兴奋剂，Web应用安全的问题迎刃而解。各政府、企业纷纷要求安装Web应用防护系统。Web应用防护系统技术原理是什么：Web应用防护系统技术原理是什么：“Web应用防护系统”支持多种灵活的部署方式，如透明网线模式、旁路反向代理模式、路由模式、混合部署模式、虚拟化部署模式。主要部署方式1．透明网线模式2．混合部署模式机模式3．旁路反向代理模式4．路由模式5．混合加密部署模式6．单IP虚拟化部署模式其中，“铱迅Web应用防护系统”的透明网线模式尤为出色，管理员在不需要修改原网络拓扑结构的情况下，“铱迅Web应用防护系统”相当于一根网线串入网络中，对Web攻击进行防御。而混合部署模式更是对较为复杂的网络应用环境提供了更加人性化的均衡部署能力。“铱迅Web应用防火墙”的透明网桥模式，与其他同类产品相比，有着先天的优势：1．透明网线模式透明网线模式指在两台运行的设备中间插入“铱迅Web应用防护系统”，但是对流量并不产生影响。在透明网线模式下，“铱迅Web应用防护系统”可以阻断、过滤来自Web应用层攻击，而让其他正常的流量通过。透明网线部署模式的最大特点是快速、简便，对于标准的Web应用（基于80/8080端口的Web应用），可做到即插即用，先部署后配置。采用“铱迅Web应用防护系统”透明网线模式部署模式主要应用于如下五种场景：1）单一混合型服务器（Web应用、DB在同一台服务器上）2）单一分离式服务器（Web应用、DB采用不同的服务器部署，但Web服务器只有一台）3）集群式Web服务器（多台集群型Web服务器）4）半分散式Web服务（Web服务器分布在局域网的部分子网中）5）全分散式Web服务（Web服务器几乎分布在局域网的任何子网中）单一混合型Web服务部署模单一混合型Web服务主要体现在采用一台服务器提供Web服务，在该服务器同时存在数据库服务，这种情况主要适用于中小型企业的Web服务器模式。在这种网络结构下，可直接将“YxlinkWAF”串接在服务器的前端，如下图显示：单一分离式Web服务部署模式单一分离式Web服务主要体现在采用一台服务器提供Web服务，同时采用另一台服务器提供数据库服务，网站的Web服务和相关的数据库服务分布在不同的服务器上。这种情况主要适用于中小型企业的Web服务器模式。在这种网络结构下，可直接将“YxlinkWAF”串接在Web服务器和DB服务器所在的交换机前端，如下图显示：集群式/集中式Web服务部署模式集群式/集中式Web服务：集群式Web服务采用多台Web服务器负荷分担提供同一Web服务；集中式Web服务主要体现在不同的Web服务器放置在同一网段或者相邻的网段内，但不同的Web服务器可能提供多样的Web服务。这种情况多数应用于中大型企业的Web服务器模式，或者是IDC。在这种网络结构下，可直接将“YxlinkWAF”串接在Web服务器群所在子网交换机前端，如下图显示：半分散式Web服务部署模式半分散式Web服务：在局域网中存在各种不同的Web应用服务，并且这些Web应用服务器分散在不同的子网中；比如：公司有整体的Web服务集群，同时，各个部门还有各自的Web服务器，而这些服务器分布在不同的子网中，如果想对这些Web服务器进行保护，需要将“YxlinkWAF”部署在这些Web服务器所在网络的边缘，如下图显示：全分散式Web服务部署模式全分散式Web服务：在局域网中存在各种不同的Web应用服务，并且这些Web应用服务器分散在几乎全部的子网中；比较常见的案例：IDC机房，这时，需要将“YxlinkWAF”部署在局域网边缘，一般部署在主交换机同主路由器之间，如下图显示：2．混合部署模式机模式混合部署模式是透明网线模式和旁路反向代理模式混合的部署方式，这种方式具有部署简便，配置较为容易等特点，特别适用于具有中心机房，但同时在不同的地点分散着个别Web服务器的情况，设备部署位置一般同“集群式/集中式Web服务”，是半分散和全分散服务部署模式的替代部署模式，为管理员提供了更加人性化的管理方式。具体部署如图：3．旁路反向代理模式旁路反向代理模式，可以将铱迅Web应用防护系统与Web服务器置于内网的交换机下，访问Web服务器的所有请求都通过“YxlinkWAF”流入流出。然而，这种模式下，Web服务器无法获取访问者的真实IP地址，需要借助HTTP报文中设置相应的字段来表示访问者IP地址，这样需要修改原有的HTTP报文。同时这种模式下将无法开启Bypass功能，因此除非在迫不得已的情况下，请谨慎使用旁路反向代理模式部署，推荐使用透明网线的部署方式。但为了同一些老式Web应用防护系统相兼容，可采用旁路方向代理模式进行部署，具体部署图如下：4．路由模式通过配置策略路由，只将HTTP流量发送到“YxlinkWAF”。5．混合加密部署模式混合加密部署模式：混合部署模式的增强形式，支持HTTP/HTTPS。这种部署方式的特点与混合部署模式基本相同。它的工作原理是将原来由Web服务器完成的SSL加密、解密工作，现在交给“YxlinkWAF”来完成，即“YxlinkWAF”执行SSL加密、解密工作，因此需要将原来Web服务器上的SSL证书导入到“YxlinkWAF”中，同时将Web服务器上的HTTP服务端口开启，比如80端口。具体部署如图：6．单IP虚拟化部署模式为了网站安全考虑，需要在一台真实主机内安装多台虚拟机，每个虚拟机里面会有1台Web服务器。但是一般情况下，很难给每个虚拟机提供一个公网IP地址。“铱迅Web应用防护系统”可以在监听80端口请求时，根据不同的主机头名，将请求分配到不同的虚拟机的80端口上，从而解决了单公网IP对应多个虚拟机的问题。ProductModel产品型号Description简要描述YxlinkWAF-1210千兆电口*5，1对电口Bypass，1U，适用于小型网站YxlinkWAF-1220千兆电口*5，2对电口Bypass，1U，适用于小型网站YxlinkWAF-1240千兆电口*6，2对电口Bypass，1U，适用于小型网站YxlinkWAF-2810千兆电口*5，1对电口Bypass，MTBF：8万小时，1U，适用于中型网站YxlinkWAF-2830千兆电口*5，1对电口Bypass，1U，适用于中大型网站YxlinkWAF-2890千兆电口*6，万兆光口*2，双电源，适用于中大型网站YxlinkWAF-5820千兆电口*8，3对电口Bypass，支持3进3出(选配)，MTBF：10万小时，1U，适用于大型网站YxlinkWAF-5830千兆电口*6，可扩光口、电口(选配)，支持4进4出(选配)，MTBF：10万小时，1U，适用于大型网站YxlinkWAF-5860千兆电口*6，千兆光口*4，1U，适用于大型网站YxlinkWAF-6820千兆电口*8，3对电口Bypass，MTBF：10万小时，1U，适用于大型网站YxlinkWAF-6830千兆电口*6，可扩光口、电口(选配)，支持4进4出(选配)，MTBF：10万小时，1U，适用于特大型网站YxlinkWAF-6860千兆电口*6，千兆光口*4，1U，适用于特大型网站YxlinkWAF-5920千兆电口*8，2对电口Bypass，支持2进2出(选配)，冗余电源(选配)，HA(选配)，MTBF：10万小时，2U，适用于大型网站YxlinkWAF-5930千兆电口*6，可扩光口、电口(选配)，支持4进4出(选配)，冗余电源(选配)，HA(选配)，MTBF：12万小时，2U，适用于大型网站YxlinkWAF-6920千兆电口*8，2对电口Bypass，支持2进2出(选配)，冗余电源(选配)，HA(选配)，MTBF：10万小时，2U，适用于特大型网站YxlinkWAF-6930千兆电口*6，可扩光口、电口(选配)，支持4进4出(选配)，冗余电源(选配)，HA(选配)，MTBF：12万小时，2U，适用于特大型网站YxlinkWAF-6960千兆电口*6，千兆光口*4，2U，支持4进4出(选配)，适用于特大型网站YxlinkWAF-8900电口*6，支持1Gbps电口1进1出，10Gbps光口1进1出(选配)，HA(选配)，MTBF：12万小时，1U，适用于大型数据中心Yxlink

WAF-10000最大支持32光口/电口(选配)，多对光/电口Bypass(选配)，多进多出(选配)，10Gbps网络支持(选配)，MTBF：12万小时，2U，适用于大型数据中心南京铱迅信息技术股份有限公司（股票代码：832623，简称：铱迅信息）是中国的一家专业从事网络安全与服务的高科技公司。总部位于江苏省南京市中国软件谷，在全国超过20个省市具有分支机构。凭借着高度的民族