
部署位置:服务器网关/交换机中间,串在业务链路,二层转发,不改变原有IP网段 流量走向:用户→交换机→WAF(透明)→业务服务器 核心特点
部署位置:业务前端,替代Nginx/Apache前置,WAF作为业务入口 流量走向:用户→WAF(代理)→后端应用服务器 核心特点
部署位置:交换机镜像口,WAF只接收复制流量,不串主链路 流量走向:业务流量正常走原有链路;镜像复制一份流量到WAF分析 核心特点
部署位置:三层网关,充当路由,业务网段与互联网分属不同网段 流量走向:外网→路由器→WAF(三层路由转发)→内网服务器 核心特点
部署位置:DNS解析接入,流量上云清洗中心 流量走向:用户DNS→云WAF节点→回源客户业务服务器 核心特点
对比维度 | 透明桥 | 反向代理 | 旁路镜像 | 三层路由 | 云SAAS WAF |
|---|---|---|---|---|---|
流量介入方式 | 二层串接全流量 | 七层代理全流量 | 镜像复制流量 | 三层路由串接 | DNS引流云端清洗 |
攻击阻断能力 | 实时阻断 | 实时阻断 | 仅告警,无法阻断 | 实时阻断 | 云端实时拦截 |
源IP保真 | 完整透传 | 需XFF配置还原 | 完整透传 | NAT后需配置 | 回源XFF携带 |
SSL证书处理 | 透传,后端解密 | 统一卸载/加解密 | 无法解密HTTPS | 后端解密 | 云端统一托管 |
业务改造量 | 小(无需改IP) | 大(改访问入口) | 极小(仅配镜像) | 大(改路由网关) | 中(修改DNS解析) |
断网风险 | 有(依赖bypass) | 有(WAF宕机无法访问) | 无,不影响业务 | 有(依赖bypass) | 极低,云端多活 |
CC/DDoS防御 | 硬件性能上限,抗小流量 | 中等,依赖服务器性能 | 无防护能力 | 硬件性能上限 | 极强,云端高防集群 |
多域名/多站点 | 支持,配置复杂 | 原生友好,负载均衡一体 | 支持审计 | 支持,网段划分复杂 | 原生适配海量域名 |
内网业务防护 | 支持 | 支持 | 支持 | 支持 | 不支持内网 |
典型产品 | 深信服、天融信硬件WAF | Nginx+ModSecurity、F5 | 所有硬件WAF镜像模式 | 山石、启明星辰边界WAF | 阿里云WAF、腾讯云WAF |