防火墙部署模式防火墙部署有哪些位置( 三 ) _部署

图6.路由代理模式下WAF的连接方式
由于负载均衡、SSL、WAF均可以工作在代理模式，目前市场上不乏多功能合一的产品，于是其架构部署也有一些变种的方式：

负载均衡具备SSL加解密功能，直接可以省略掉SSL层，问题是SSL不再具备横向扩展能力，随着业务量的增加，瓶颈将出现在负载均衡设备上；图7.负载均衡具备SSL加解密能力

SSL具备负载均衡功能，SSL可以直接给后面的WAF做负载，省略掉一层负载均衡。问题是要求WAF产品需要具备二层原路返回功能（autolasthop），如果无此能力，将会出现来回路径不一致的情况。另外，路径较为复杂，排错定位比较困难。图8.SSL具备负载均衡能力

同时具备负载均衡、SSL、WAF能力，那么可以直接给WEB服务器做负载，架构极为简单，但是由于SSL加解密和WAF规则过滤都极其消耗设备性能，故只能对小业务量应用进行部署。图9.全功能负载均衡
另外想说明的是，虽然所有WAF产品都自称具备SSL加解密能力，但是因为性能的原因以及实际部署时候解耦的要求，通常WAF厂商不会推荐在自身产品上启用SSL功能，所以这种方式仅推荐功能测试时使用。
四负载均衡策略设计考虑到模型的通用性，我们还是推荐将WAF应用防火墙部署在路由代理模式下，回到其经典代理部署架构，要将WAF加入到现有的环境中，其实是在SSL集群层和WEB集群层中间新增WAF集群层，可以通过切换第二层负载均衡关联的地址池实现WAF集群的部署，这种方式切换可以基本实现业务零中断。
图10.二层集群变三层集群
其中，第一层和第三层负载均衡因为没有架构变化，故策略保持不变。第二层负载均衡，由原先的直接给WEB服务器做负载，改为给WAF集群做负载，这里为了考虑WAF集群整体故障而需要快速隔离的情况，在WAF集群中还添加了WEB服务器集群逃生通道，其中WAF应用防火墙的优先级为高，WEB服务器的优先级低，这样在WAF故障时，负载均衡可以自动切换到二层负载均衡的方式，直接给WEB做负载，因此负载均衡方式采用优先级最小连接数的策略。
健康检查方面，建议使用TCP直接监控WAF的业务端口，这里仅需要考虑监控到WAF层面，没有必要通过HTTP监控到业务层面。由于本层考虑到可能需要直接给WEB服务器做负载，故建议会话保持策略与第三层负载均衡保持一致即可。
该架构主要是通过网络层面调整调整策略支持WAF的接入，但是在日常运维排错中涉及到网络、应用SSL加解密、安全WAF策略、应用WEB服务器等过多领域，排错仍然稍显复杂，结合运维实践，主要有以下三点建议：