一、五种部署模式原理&适用场景
1. 透明桥模式(二层串接,最常用本地硬件WAF)
部署位置 :服务器网关/交换机中间,串在业务链路,二层转发,不改变原有IP网段
流量走向 :用户→交换机→WAF(透明)→业务服务器
核心特点
- 无需改业务IP、路由,上线割接简单;
- 全流量过WAF,防护完整,支持阻断攻击;
- 无NAT,源IP真实透传,日志溯源准确;
- 故障可开启硬件bypass,断网风险可控。
优点 :改动最小、防护全覆盖、真实源IP、硬件WAF标配
缺点 :串接单点,bypass失效会断业务;不支持负载均衡多站分流
适用:机房单业务集群、中小政企、线下硬件WAF(深信服、天融信、启明星辰)
2. 反向代理模式(七层代理,Web架构首选)
部署位置 :业务前端,替代Nginx/Apache前置,WAF作为业务入口
流量走向 :用户→WAF(代理)→后端应用服务器
核心特点
- 七层完整解析HTTP/HTTPS,SSL卸载、证书统一托管;
- 支持多域名、多后端负载均衡、URL精细防护;
- 可做动静分离、缓存、限流、CC防护优化;
- 源IP会被代理改写,需配置X-Forwarded-For还原真实IP。
优点 :防护粒度最细、SSL统一管理、负载均衡一体化、适合多网站
缺点 :需要修改业务访问入口,架构改动大;四层转发性能损耗更高
适用:互联网Web站点、小程序/官网、自建Nginx前置、云主机自建WAF(NGINX+ModSecurity)
3. 旁路镜像模式(流量审计,仅检测不阻断)
部署位置 :交换机镜像口,WAF只接收复制流量,不串主链路
流量走向 :业务流量正常走原有链路;镜像复制一份流量到WAF分析
核心特点
- 不影响业务链路,无断网风险,零割接;
- 仅能检测、告警、溯源,无法实时阻断攻击;
- 无法拦截CC、SQL注入等实时攻击,只能事后排查;
- 一般搭配防火墙联动阻断(下发黑名单)。
优点 :零业务影响、上线无风险、适合等保流量审计、存量业务临时评估
缺点 :无实时防御,防护能力残缺,仅辅助审计
适用:等保合规流量审计、风险评估、内网业务、不敢改动生产链路的场景
4. 路由串接模式(三层串接,跨网段场景)
部署位置 :三层网关,充当路由,业务网段与互联网分属不同网段
流量走向 :外网→路由器→WAF(三层路由转发)→内网服务器
核心特点
- WAF具备三层路由、NAT功能,可做内外网地址转换;
- 支持多网段隔离,可划分安全区域;
- 必须调整内网路由/网关配置,割接工作量大;
- 同样支持bypass,全流量阻断防护。
优点 :三层隔离、支持NAT、多网段管控、边界一体化防护
缺点 :网络改造量大,需调整全局路由,运维复杂度高
适用:多网段大型机房、IDC边界、内外网隔离场景
5. 云WAF(公有云/SAAS WAF,阿里云/腾讯云/华为云WAF)
部署位置 :DNS解析接入,流量上云清洗中心
流量走向 :用户DNS→云WAF节点→回源客户业务服务器
核心特点
- 无需本地硬件,零机房部署,弹性扩容;
- 云端超大带宽抗CC、DDoS,底层联动高防IP;
- 证书托管、Bot管理、爬虫拦截、地域封禁一站式;
- 回源存在延迟,内网业务无法使用。
优点 :抗大流量CC/DDoS、免硬件、弹性扩容、运维简单
缺点 :依赖外网,内网业务无法防护;域名需要修改DNS;有回源延迟
适用:公网官网、电商、小程序、对外互联网业务
二、核心维度对比总表
| 对比维度 | 透明桥 | 反向代理 | 旁路镜像 | 三层路由 | 云SAAS WAF |
|---|---|---|---|---|---|
| 流量介入方式 | 二层串接全流量 | 七层代理全流量 | 镜像复制流量 | 三层路由串接 | DNS引流云端清洗 |
| 攻击阻断能力 | 实时阻断 | 实时阻断 | 仅告警,无法阻断 | 实时阻断 | 云端实时拦截 |
| 源IP保真 | 完整透传 | 需XFF配置还原 | 完整透传 | NAT后需配置 | 回源XFF携带 |
| SSL证书处理 | 透传,后端解密 | 统一卸载/加解密 | 无法解密HTTPS | 后端解密 | 云端统一托管 |
| 业务改造量 | 小(无需改IP) | 大(改访问入口) | 极小(仅配镜像) | 大(改路由网关) | 中(修改DNS解析) |
| 断网风险 | 有(依赖bypass) | 有(WAF宕机无法访问) | 无,不影响业务 | 有(依赖bypass) | 极低,云端多活 |
| CC/DDoS防御 | 硬件性能上限,抗小流量 | 中等,依赖服务器性能 | 无防护能力 | 硬件性能上限 | 极强,云端高防集群 |
| 多域名/多站点 | 支持,配置复杂 | 原生友好,负载均衡一体 | 支持审计 | 支持,网段划分复杂 | 原生适配海量域名 |
| 内网业务防护 | 支持 | 支持 | 支持 | 支持 | 不支持内网 |
| 典型产品 | 深信服、天融信硬件WAF | Nginx+ModSecurity、F5 | 所有硬件WAF镜像模式 | 山石、启明星辰边界WAF | 阿里云WAF、腾讯云WAF |
三、选型建议
- 线下机房、不想改业务IP、需要完整防护 → 透明桥模式(首选)
- 多网站、需要统一SSL、负载均衡、精细化URL防护 → 反向代理
- 仅做等保审计、不敢动生产链路、只需要告警溯源 → 旁路镜像
- 多网段隔离、需要NAT做内外网转换 → 三层路由串接
- 公网对外业务、面临大CC/DDoS、不想采购硬件 → 云SAAS WAF
- 内网管理系统、无公网暴露:透明桥/反向代理,不推荐云WAF、镜像仅做审计
四、补充组合方案(企业常用)
- 镜像审计+透明桥防护:主链路透明桥实时拦截,镜像口同步流量做日志审计,兼顾防护与等保;
- 云WAF+本地WAF:公网流量云端清洗大DDoS,回源后本地硬件WAF做深度Web攻击检测;
- 反向代理+旁路镜像:Nginx前置WAF做业务防护,镜像流量同步日志平台溯源。