云计算的WAF软件与硬件

　　WAF实践建议无论你采用什么样的WAF，下面都是部署WAF及其在生产环境中运行时应该关注的最佳实践建议：WAF的部署设计是关键部署设计不好可能不仅影响了网络整体性能、限制了WAF的功能，而且对web应用也难以取得令人满意的防护效果。在部署前，需要了解以下事项：如果使用软件WAF，应该考虑WAF产品支持的OS和硬件；如果使用硬件WAF，首先要确认它能支持的网络拓扑工作模式（如路由器、代理及网桥等｝，还要清楚它怎么处理SSL数据流，如是直接终结SSL连接、还只是被动解密数据流或干脆什么都不做。此外，还要确认WAF能支持的用户或客户身份认证方法。

　　在部署时，WAF必需要与现有环境中的WEB基础设施整合，并且要注意到由于WAF引入可能给基础设施带来的一些变化。部署WAF时尤其要注意的是要尽可能地不改变现有安全策路，一个典型的例子是S8L终结：如使用硬件WAF时则会终结在Web服务器之前，但这种方式通常不会被采用，尤其在高安全要求的应用中；可以通过使用基于插件的WAF产品直接部在WEB服务器上来保持SSL终结还是由WEB服务器完成。在集中式基础设施环境里，WAF可作为集中式基础设施部件或硬件设备部署，但这种模式下难以预测对整体环境带来的变化；然而，对于非集中部署模式（这种部署模式增长很快）的基础设施（如在线商店），使用分布式WAF也即插件式的WAF直接部署在WEB服务器上可能会更合适。

　　那么，我们从基础设施部署方面考虑，这种部暑模式更灵活，它结合了分布式实施与中央管理点两种方此外，对于直接部署在WEB服务器的前面的WAF产品，由于是串行接入，不仅在硬件性能法的优点。上要求高，而且要不能影响WEB服务，因此，WAF产品必须具备HA和bypass等功能，而且还要与负载均衡、WEB缓存等WEB服务器之前的常见产品协调部署。最后，需要注意的是，基于虚拟化的硬化基础架构成为未来开发越来越重要的基础架构，因此，也要考虑WAF能被无缝集成到虚拟化架构里。

　　小编结语：关注WAF的连接处理方式：不同的WAF在过滤流量的方式不同，如有的是复位TCP连接，关注WAF技术实现细节有的丢弃流量，而有的则脱去可疑的内容，而另一些WAF则会结合使用上述技术。