弘协网络 | F5技术交流

双模安全 - WAF异构 - 模型1

2021-03-01 20:28:44

林夏

大家可能会在想异构WAF,这有必要吗?  


在以前,大多数用户在没有安全事件的情况下,或者说对安全不是特别重视的情况下,也就对不同WAF的能力没有感觉, 我们听到的可能只是那家的WAF简单,好运维,那家的WAF上线就重启这类和设备本身运维相关的信息,因为这是对终端用户最直观的感受。


有时候,用户想优化策略,做精做细,但是无从下手

因为往往是网络团队或安全团队在管理WAF,用户想要优化策略,想要做精做细,但是会发现无从入手,担心改了这个配置,会不会影响生产的流量,


有时候用户想使用F5的AWAF。但是无法调整架构,或者已经有了其他友商的WAF了


但是现在这两年,随着我们的用户对安全越来越重视,特别是护网行动的开展,很多用户会开始考虑异构WAF的解决方案了,


那么,如何在线评判现有WAF的防护能力呢,因为我就只用了一个品牌的WAF,他的功能全不全,配置的合理不合理,没有第三者,就不会知道。


那么,我们这个解决方案可以解决上述问题,比如用户想要异构WAF,但是呢网络架构无法改变,因此我们可以建议让现网中的F5 LTM负载产品或者nginx,将流量复制到F5的AWAF上,

F5的AWAF,接受到LTM或nginx复制过来的流量后,进行安全过滤判断,通过高速日志引擎HSL实时输出安全事件到大数据平台,进行可视化的展现。


在这时候,需要利用到F5或者nginx的流量复制能力,正常的流量该怎么走还是怎么走,保证效率,只不过复制一份流量到集中部署的awaf中,注意哦,复制过来的流量和镜像流量有所差异,复制来的流量是正常的流量,而镜像过来的流量的目标ip和mac都是原始报文的信息,需要安全设备有能力接收并处理。


也许你会在想,把F5 AWAF做成镜像模式不就可以了吗,

但是有几个问题,1, 未必所有的安全设备都有处理镜像流量的能力,而且接受镜像流量的安全设备往往无法扩展。还有就是,安全设备是无法处理镜像过来的ssl的流量的,还有一个问题,流量镜像过来的包是全量流量,比如一个waf通过tap方式部署,可能还需要进行噪音流量的去除,效率很差,性能损耗也会大,比如waf是无需处理udp流量的,因此需要做udp流量的,TCP流量,SSL流量的去除。对性能要求还是比较高的。

那么有的同学又在想,一些tap分流类设备比如gigamon可以啊,这类产品是可以做些封包裁剪,去重,过滤的事情,但是呢,大家注意下,我们刚刚说是全网流量的引导,gigamon这类的设备还是比较倾向传统网络,如果是容器环境呢,大家有没想过这个问题,还有就是tap分流类设备这类设备一般比较贵,并且工作的层次再更底层,意味着什么呢,无法实现流量精分,无法做应用层的流量的复制,比如说做重点URL的复制。

当然我不是说tap分流类设备不好,解决方案不行,不同的产品有不同的定位和适用的场景,像我开篇说的那样,只有最适合你的架构,没有最好的架构。好,那么能否有一个简单的,最好是免费的,适用于全网的流量引导手段或工具呢。

而现在这种流量复制的方案呢,用户可以集中的部署一组F5 AWAF资源池,可以横向扩展的,然后在各个区域的F5上,把流量复制过来,F5提供安全评估报告,在护网期间,是一种安全加固方案,之后呢,可以进化成开放WAF的方案,做WAF异构,做实时阻断。同时,又符合双模安全的模型,当然,如果不要实时阻断,只希望提供安全分析日志的话,那么就是一种全网流量安全监控的方案。


 好了,今天的分享就到这里,希望能通过F5和nginx的解决方案,让你轻松写意,悠闲自在,看看诗和远方。


发布评论 加入社群

发布评论

相关文章

双模安全 - WAF异构 - 模型2

林夏

2021-03-01 20:32:09 459

双模安全 - 开放WAF

林夏

2021-03-01 20:25:07 433

双模安全-纵深防御

林夏

2021-01-05 10:43:53 399

Login

手机号
验证码
© 2019 F5 Networks, Inc. 版权所有。京ICP备16013763号-1