首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >WAF部署方式对比(主流5种:透明桥、反向代理、旁路镜像、串接路由、云WAF)

WAF部署方式对比(主流5种:透明桥、反向代理、旁路镜像、串接路由、云WAF)

作者头像
ICT系统集成阿祥
发布2026-07-17 11:03:31
发布2026-07-17 11:03:31
440
举报
文章被收录于专栏:数通数通

一、五种部署模式原理&适用场景

1. 透明桥模式(二层串接,最常用本地硬件WAF)

部署位置:服务器网关/交换机中间,串在业务链路,二层转发,不改变原有IP网段 流量走向:用户→交换机→WAF(透明)→业务服务器 核心特点

  1. 无需改业务IP、路由,上线割接简单;
  2. 全流量过WAF,防护完整,支持阻断攻击;
  3. 无NAT,源IP真实透传,日志溯源准确;
  4. 故障可开启硬件bypass,断网风险可控。 优点:改动最小、防护全覆盖、真实源IP、硬件WAF标配 缺点:串接单点,bypass失效会断业务;不支持负载均衡多站分流 适用:机房单业务集群、中小政企、线下硬件WAF(深信服、天融信、启明星辰)

2. 反向代理模式(七层代理,Web架构首选)

部署位置:业务前端,替代Nginx/Apache前置,WAF作为业务入口 流量走向:用户→WAF(代理)→后端应用服务器 核心特点

  1. 七层完整解析HTTP/HTTPS,SSL卸载、证书统一托管;
  2. 支持多域名、多后端负载均衡、URL精细防护;
  3. 可做动静分离、缓存、限流、CC防护优化;
  4. 源IP会被代理改写,需配置X-Forwarded-For还原真实IP。 优点:防护粒度最细、SSL统一管理、负载均衡一体化、适合多网站 缺点:需要修改业务访问入口,架构改动大;四层转发性能损耗更高 适用:互联网Web站点、小程序/官网、自建Nginx前置、云主机自建WAF(NGINX+ModSecurity)

3. 旁路镜像模式(流量审计,仅检测不阻断)

部署位置:交换机镜像口,WAF只接收复制流量,不串主链路 流量走向:业务流量正常走原有链路;镜像复制一份流量到WAF分析 核心特点

  1. 不影响业务链路,无断网风险,零割接;
  2. 仅能检测、告警、溯源,无法实时阻断攻击
  3. 无法拦截CC、SQL注入等实时攻击,只能事后排查;
  4. 一般搭配防火墙联动阻断(下发黑名单)。 优点:零业务影响、上线无风险、适合等保流量审计、存量业务临时评估 缺点:无实时防御,防护能力残缺,仅辅助审计 适用:等保合规流量审计、风险评估、内网业务、不敢改动生产链路的场景

4. 路由串接模式(三层串接,跨网段场景)

部署位置:三层网关,充当路由,业务网段与互联网分属不同网段 流量走向:外网→路由器→WAF(三层路由转发)→内网服务器 核心特点

  1. WAF具备三层路由、NAT功能,可做内外网地址转换;
  2. 支持多网段隔离,可划分安全区域;
  3. 必须调整内网路由/网关配置,割接工作量大;
  4. 同样支持bypass,全流量阻断防护。 优点:三层隔离、支持NAT、多网段管控、边界一体化防护 缺点:网络改造量大,需调整全局路由,运维复杂度高 适用:多网段大型机房、IDC边界、内外网隔离场景

5. 云WAF(公有云/SAAS WAF,阿里云/腾讯云/华为云WAF)

部署位置:DNS解析接入,流量上云清洗中心 流量走向:用户DNS→云WAF节点→回源客户业务服务器 核心特点

  1. 无需本地硬件,零机房部署,弹性扩容;
  2. 云端超大带宽抗CC、DDoS,底层联动高防IP;
  3. 证书托管、Bot管理、爬虫拦截、地域封禁一站式;
  4. 回源存在延迟,内网业务无法使用。 优点:抗大流量CC/DDoS、免硬件、弹性扩容、运维简单 缺点:依赖外网,内网业务无法防护;域名需要修改DNS;有回源延迟 适用:公网官网、电商、小程序、对外互联网业务

二、核心维度对比总表

对比维度

透明桥

反向代理

旁路镜像

三层路由

云SAAS WAF

流量介入方式

二层串接全流量

七层代理全流量

镜像复制流量

三层路由串接

DNS引流云端清洗

攻击阻断能力

实时阻断

实时阻断

仅告警,无法阻断

实时阻断

云端实时拦截

源IP保真

完整透传

需XFF配置还原

完整透传

NAT后需配置

回源XFF携带

SSL证书处理

透传,后端解密

统一卸载/加解密

无法解密HTTPS

后端解密

云端统一托管

业务改造量

小(无需改IP)

大(改访问入口)

极小(仅配镜像)

大(改路由网关)

中(修改DNS解析)

断网风险

有(依赖bypass)

有(WAF宕机无法访问)

无,不影响业务

有(依赖bypass)

极低,云端多活

CC/DDoS防御

硬件性能上限,抗小流量

中等,依赖服务器性能

无防护能力

硬件性能上限

极强,云端高防集群

多域名/多站点

支持,配置复杂

原生友好,负载均衡一体

支持审计

支持,网段划分复杂

原生适配海量域名

内网业务防护

支持

支持

支持

支持

不支持内网

典型产品

深信服、天融信硬件WAF

Nginx+ModSecurity、F5

所有硬件WAF镜像模式

山石、启明星辰边界WAF

阿里云WAF、腾讯云WAF

三、选型建议

  1. 线下机房、不想改业务IP、需要完整防护 → 透明桥模式(首选)
  2. 多网站、需要统一SSL、负载均衡、精细化URL防护 → 反向代理
  3. 仅做等保审计、不敢动生产链路、只需要告警溯源 → 旁路镜像
  4. 多网段隔离、需要NAT做内外网转换 → 三层路由串接
  5. 公网对外业务、面临大CC/DDoS、不想采购硬件 → 云SAAS WAF
  6. 内网管理系统、无公网暴露透明桥/反向代理,不推荐云WAF、镜像仅做审计

四、补充组合方案(企业常用)

  1. 镜像审计+透明桥防护主链路透明桥实时拦截,镜像口同步流量做日志审计,兼顾防护与等保;
  2. 云WAF+本地WAF公网流量云端清洗大DDoS,回源后本地硬件WAF做深度Web攻击检测;
  3. 反向代理+旁路镜像Nginx前置WAF做业务防护,镜像流量同步日志平台溯源。 不想错过文章内容?读完请点一下“关注”,您的支持是我创作的动力

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2026-07-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 ICT系统集成阿祥 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、五种部署模式原理&适用场景
    • 1. 透明桥模式(二层串接,最常用本地硬件WAF)
    • 2. 反向代理模式(七层代理,Web架构首选)
    • 3. 旁路镜像模式(流量审计,仅检测不阻断)
    • 4. 路由串接模式(三层串接,跨网段场景)
    • 5. 云WAF(公有云/SAAS WAF,阿里云/腾讯云/华为云WAF)
  • 二、核心维度对比总表
  • 三、选型建议
  • 四、补充组合方案(企业常用)
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档