部署型号 |
X6510 |
性能 |
峰值Web流量 <= 2G |
部署模式 |
透明网桥 |
反向代理 |
部署位置(详细参考示意图) |
串联在防火墙之后 |
同F5并联在同一交换机 |
部线模式 |
双线(网桥多进多出) |
双线(多物理接口,多臂) |
网络模式 |
二层 |
三层 |
部署需求 |
网络的集中接入点 |
F5增加配置为WAF进行负载均衡 |
流量不超过单台设备的性能峰值 |
需要梳理每个应用的访问域名清单 |
部署示意图 |
|
|
优点 |
不需要更改现有的网络结构 不需要知道后端的应用类型 拥有较低的时延续
|
易于性能扩展 |
缺点 |
不易扩展 |
增加时延 改变网络结构
|
场景 |
维护成本(安全,运维) |
WAF配置简单,易于维护 |
WAF配置较复杂,可借助API实现自动化 |
非7层应用流量 |
不进行检测直接转发到后端服务器 |
所有经过流量一定会进行检测 |
宕机断电 |
断电直通,不影响后面的正常服务 |
无法透传,只能使用wafpool中的其他waf |
防火墙地址映射后端服务器 |
无影响,均可选择性映射 |
无影响,均可选择性映射 |
SSL卸载 |
WAF需要导入应用的SSL证书解密HTTPS (影响性能,可能需要ssl加速卡) |
SSL在F5上卸载,WAF仅检测明文HTTP流量 |
结论 |
优先推荐透明网桥部署模式,其次选择反向代理模式; 在反向代理模式下,优先选择 双臂_KRP+LoadBalance_双线接单BL |
其实针对反向代理的部署模式,单考虑接线情况就有3-4种部署方式。但是此处并不打算再做讨论了。
连续整理了一天关于最近工作中学习到的东西,虽然还有大部分在整理,但是晚上突然下起了雨,听着伍佰的《被动》,我还搞个蛋的技术。还是放松一下吧。记个Flag。
Flag & ToDo: