亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        傳統(tǒng)硬件Web應用防火墻在虛擬化環(huán)境下的部署

        2018-10-19 05:37:36康玉虎
        數(shù)字通信世界 2018年9期
        關鍵詞:物理環(huán)境

        康玉虎

        (蘭州城市學院信息網(wǎng)絡中心,蘭州 730070)

        1 引言

        對學校門戶網(wǎng)站、各類校內(nèi)網(wǎng)站等Web應用的保護是高校網(wǎng)絡安全工作的重點,在傳統(tǒng)模式下,Web應用都是獨立部署在物理服務器上,此時Web應用防火墻只需以透明代理串接模式部署在Web應用服務器接入交換機之前,對此交換機下接入的各個Web應用服務器進行保護。然而,在虛擬化環(huán)境下,多臺物理服務器構成服務器資源池,通過數(shù)據(jù)中心接入交換機接入到校園網(wǎng)核心設備,Web應用服務器是與其他各類應用一起以虛擬機的形式運行在云計算虛擬化平臺上,無法從物理鏈路上去很好的區(qū)分、歸類Web應用服務器。在尚沒有經(jīng)費投入來購買支持虛擬化的虛擬Web應用防火墻的情況下,如何正確的部署傳統(tǒng)硬件Web應用防火墻來保護這些Web應用是虛擬化環(huán)境下Web應用防護工作中遇到的重要問題。

        2 Web應用防火墻及其傳統(tǒng)部署模式

        2.1 Web應用防火墻

        Web 應用防火墻(Web Application Firewall,WAF),是指通過執(zhí)行一系列針對HTTP/HTTPS的安全策略專門對Web 應用提供保護的產(chǎn)品。WAF可應對Web 應用面臨的各類安全威脅,如SQL 注入、跨站腳本攻擊(XSS)、跨站請求偽造攻擊(CSRF)、Cookie篡改以及應用層DDoS等,能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題,充分保障Web應用的高可用性和可靠性[1]。WAF的產(chǎn)品形態(tài)包括硬件WAF、軟件WAF 以及云WAF 等,本文討論的主要是硬件WAF[2]。

        2.2 Web應用防火墻的傳統(tǒng)部署模式

        在傳統(tǒng)模式下,Web應用是以物理服務器的形式獨立部署的,物理鏈路可區(qū)分,因此,WAF的部署模式相對簡單,可采用透明代理串接模式。如果只有單臺Web應用服務器,只需將WAF串接在服務器接入交換機與Web應用服務器之間即可。如果有多臺Web應用服務器,那么可以先將各個Web應用服務器全部連接至一臺接入交換機,與其他業(yè)務服務器在鏈路上獨立出來,然后將這臺接入交換機連接至核心交換機,最后將WAF串接在接入交換機與核心交換機之間即可。圖1為多臺Web應用服務器環(huán)境下WAF的透明代理串接模式部署拓撲。

        圖1 多臺Web應用服務器環(huán)境下WAF的透明代理串接模式部署拓撲

        3 Web應用防火墻在虛擬化環(huán)境下的部署模式

        在虛擬化環(huán)境下,多臺物理服務器作為計算節(jié)點構成了服務器虛擬化資源池,各類應用不再是直接部署在物理服務器上,而是在云計算虛擬化平臺上以虛擬機的形式部署,虛擬機會根據(jù)物理服務器的負載情況在多個物理服務器之間動態(tài)遷移。因此,無法通過物理鏈路來區(qū)分出Web應用服務器所在的物理服務器。如果把WAF部署在核心交換機和數(shù)據(jù)中心接入交換機之間,云計算虛擬化平臺上的所有應用的流量都將通過WAF,這樣WAF的負載很高,而且造成單點故障,即WAF出現(xiàn)故障,不僅影響Web應用,其他應用也將受到影響。

        因此,如圖2所示,我們將各類Web應用服務虛擬機都綁定到計算節(jié)點1,使其不再遷移。將計算節(jié)點1原來分別連接至兩個數(shù)據(jù)中心接入交換機的兩條鏈路分別接入到WAF的兩個IN口,再將WAF對應的兩個OUT口連接至兩臺數(shù)據(jù)中心接入交換機上。在WAF中將這兩對IN、OUT接口放入到一個保護組。這樣WAF仍然以透明代理串接的模式部署在計算節(jié)點1和數(shù)據(jù)中心接入交換機之間,做為一個透明設備,它不影響計算節(jié)點兩個網(wǎng)口的綁定及主備關系,計算節(jié)點和虛擬化平臺感受不到WAF的存在。當WAF出現(xiàn)故障時,只影響計算節(jié)點1上的虛擬機業(yè)務,而且可以通過設置WAF為Bypass模式迅速恢復故障。

        WAF部署好后,計算節(jié)點1上所運行的Web應用的上下行流量都將受到WAF的檢測,可以很好的保障Web應用的安全、穩(wěn)定運行。而對計算節(jié)點1上的其他應用,可以在WAF中不做保護配置,其流量經(jīng)過WAF也不會進行任何處理,不影響其他應用的正常運行。其他計算節(jié)點的流量由于無需流經(jīng)WAF,因此保持原有模式不變。

        圖2 虛擬化環(huán)境下WAF的透明代理串接模式部署拓撲

        4 結束語

        本文介紹的虛擬化環(huán)境下WAF的透明代理串接模式部署方案解決了傳統(tǒng)硬件WAF在虛擬化環(huán)境下的部署問題,對于在虛擬化環(huán)境下運行的Web應用的保護,提供了參考方案。但是,由于此方案將Web應用綁定到特定的計算節(jié)點上,當該計算節(jié)點故障時,Web應用無法自動遷移至其他計算節(jié)點,需要手動遷移來恢復業(yè)務并暫時脫離WAF的保護。要進一步解決這個問題,需要采購并部署虛擬Web應用防火墻,這也是以后需要研究的內(nèi)容。

        猜你喜歡
        物理環(huán)境
        只因是物理
        井岡教育(2022年2期)2022-10-14 03:11:44
        長期鍛煉創(chuàng)造體內(nèi)抑癌環(huán)境
        一種用于自主學習的虛擬仿真環(huán)境
        如何打造高效物理復習課——以“壓強”復習課為例
        孕期遠離容易致畸的環(huán)境
        不能改變環(huán)境,那就改變心境
        處處留心皆物理
        環(huán)境
        孕期遠離容易致畸的環(huán)境
        我心中的物理
        亚洲女同一区二区三区| 亚洲精品无码永久在线观看| 精品人妻伦一二三区久久| 日本韩国男男作爱gaywww| 女的扒开尿口让男人桶30分钟| 真人做爰片免费观看播放 | 伊人久久大香线蕉午夜av| 玩弄放荡人妻少妇系列视频| 日本欧美国产精品| 国产成人免费一区二区三区| 亚洲αv在线精品糸列| 国产成人精品自拍在线观看| 国产精品专区第一页天堂2019| 久久久精品国产免大香伊| 一本大道无码人妻精品专区| 国产精品欧美日韩在线一区| 91久久国产综合精品| 亚洲妇女av一区二区| 中文字幕中文字幕在线中二区 | 久久精品国产亚洲av影院毛片| 国内自拍情侣露脸高清在线| 伊人激情av一区二区三区| 每天更新的免费av片在线观看| 澳门精品无码一区二区三区| 91精品国产乱码久久久| 亚洲av网一区二区三区| 高清偷自拍亚洲精品三区| 国自产偷精品不卡在线| 在线观看一区二区女同| 亚洲一区二区三区免费的视频| 青青青免费在线视频亚洲视频 | 欧洲美女黑人粗性暴交| 人妻 日韩精品 中文字幕| 欧美日韩中文字幕日韩欧美| 久久久成人av毛片免费观看| 东风日产车是不是国产的 | 草青青在线视频免费观看| 国产自拍视频在线观看免费| 日韩av无码精品一二三区| 亚洲一区二区综合色精品| 男的和女的打扑克的视频|