傳統硬件Web應用防火墻在虛擬化環境下的部署

康玉虎

（蘭州城市學院信息網絡中心，蘭州 730070）

1 引言

對學校門戶網站、各類校內網站等Web應用的保護是高校網絡安全工作的重點，在傳統模式下，Web應用都是獨立部署在物理服務器上，此時Web應用防火墻只需以透明代理串接模式部署在Web應用服務器接入交換機之前，對此交換機下接入的各個Web應用服務器進行保護。然而，在虛擬化環境下，多臺物理服務器構成服務器資源池，通過數據中心接入交換機接入到校園網核心設備，Web應用服務器是與其他各類應用一起以虛擬機的形式運行在云計算虛擬化平臺上，無法從物理鏈路上去很好的區分、歸類Web應用服務器。在尚沒有經費投入來購買支持虛擬化的虛擬Web應用防火墻的情況下，如何正確的部署傳統硬件Web應用防火墻來保護這些Web應用是虛擬化環境下Web應用防護工作中遇到的重要問題。

2 Web應用防火墻及其傳統部署模式

2.1 Web應用防火墻

Web 應用防火墻（Web Application Firewall，WAF），是指通過執行一系列針對HTTP/HTTPS的安全策略專門對Web 應用提供保護的產品。WAF可應對Web 應用面臨的各類安全威脅，如SQL 注入、跨站腳本攻擊（XSS）、跨站請求偽造攻擊（CSRF）、Cookie篡改以及應用層DDoS等，能有效解決網頁篡改、網頁掛馬、敏感信息泄露等安全問題，充分保障Web應用的高可用性和可靠性[1]。WAF的產品形態包括硬件WAF、軟件WAF 以及云WAF 等，本文討論的主要是硬件WAF[2]。

2.2 Web應用防火墻的傳統部署模式

在傳統模式下，Web應用是以物理服務器的形式獨立部署的，物理鏈路可區分，因此，WAF的部署模式相對簡單，可采用透明代理串接模式。如果只有單臺Web應用服務器，只需將WAF串接在服務器接入交換機與Web應用服務器之間即可。如果有多臺Web應用服務器，那么可以先將各個Web應用服務器全部連接至一臺接入交換機，與其他業務服務器在鏈路上獨立出來，然后將這臺接入交換機連接至核心交換機，最后將WAF串接在接入交換機與核心交換機之間即可。圖1為多臺Web應用服務器環境下WAF的透明代理串接模式部署拓撲。

圖1 多臺Web應用服務器環境下WAF的透明代理串接模式部署拓撲

3 Web應用防火墻在虛擬化環境下的部署模式

在虛擬化環境下，多臺物理服務器作為計算節點構成了服務器虛擬化資源池，各類應用不再是直接部署在物理服務器上，而是在云計算虛擬化平臺上以虛擬機的形式部署，虛擬機會根據物理服務器的負載情況在多個物理服務器之間動態遷移。因此，無法通過物理鏈路來區分出Web應用服務器所在的物理服務器。如果把WAF部署在核心交換機和數據中心接入交換機之間，云計算虛擬化平臺上的所有應用的流量都將通過WAF，這樣WAF的負載很高，而且造成單點故障，即WAF出現故障，不僅影響Web應用，其他應用也將受到影響。

因此，如圖2所示，我們將各類Web應用服務虛擬機都綁定到計算節點1，使其不再遷移。將計算節點1原來分別連接至兩個數據中心接入交換機的兩條鏈路分別接入到WAF的兩個IN口，再將WAF對應的兩個OUT口連接至兩臺數據中心接入交換機上。在WAF中將這兩對IN、OUT接口放入到一個保護組。這樣WAF仍然以透明代理串接的模式部署在計算節點1和數據中心接入交換機之間，做為一個透明設備，它不影響計算節點兩個網口的綁定及主備關系，計算節點和虛擬化平臺感受不到WAF的存在。當WAF出現故障時，只影響計算節點1上的虛擬機業務，而且可以通過設置WAF為Bypass模式迅速恢復故障。

WAF部署好后，計算節點1上所運行的Web應用的上下行流量都將受到WAF的檢測，可以很好的保障Web應用的安全、穩定運行。而對計算節點1上的其他應用，可以在WAF中不做保護配置，其流量經過WAF也不會進行任何處理，不影響其他應用的正常運行。其他計算節點的流量由于無需流經WAF，因此保持原有模式不變。

圖2 虛擬化環境下WAF的透明代理串接模式部署拓撲

4 結束語

本文介紹的虛擬化環境下WAF的透明代理串接模式部署方案解決了傳統硬件WAF在虛擬化環境下的部署問題，對于在虛擬化環境下運行的Web應用的保護，提供了參考方案。但是，由于此方案將Web應用綁定到特定的計算節點上，當該計算節點故障時，Web應用無法自動遷移至其他計算節點，需要手動遷移來恢復業務并暫時脫離WAF的保護。要進一步解決這個問題，需要采購并部署虛擬Web應用防火墻，這也是以后需要研究的內容。