浅析web应用防火墙的反向代理部署

最新推荐文章于 2025-05-21 15:19:06 发布
最新推荐文章于 2025-05-21 15:19:06 发布
阅读量2.9k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
文章标签: 网络 http 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/recklesszhang/article/details/121169059
反向代理是一种网络安全策略,用于隐藏真实服务器IP,提高安全性。在反向代理部署中,客户端通过Web应用防火墙(WAF)与服务器交互,WAF处理HTTP和HTTPS流量,保护内部网络免受攻击。与直连部署相比,反向代理模式改变了网络拓扑,所有流量都必须经过WAF,降低了服务器的压力,但可能需要对多台服务器的端口进行区分。此模式适用于需要高级别安全防护的场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

浅析web应用防火墙的反向代理部署

        现在,随着互联网的发展,越来越多用户对于网络的安全要求越来越高,对于安全设备的部署模式也需要根据不同场景的业务需要来进行调整。有一些客户为了对内网用户也隐藏自己真实服务器的ip地址,从而来防护各类http或https流量攻击,因此waf的反向代理部署模式应运而生。

什么是反向代理?

         首先,我们需要了解什么是反向代理:反向代理是(Reverse Proxy)是以代理服务器的形式来接受来自Internet的请求,然后将请求转发给内部服务器;并从服务器得到响应返回给Internet的客户端,此时这个代理服务器对外表现和一个服务器是一样的。所以对于客户端而言,客户访问的反向代理设备的代理端口,不需要客户进行额外的配置,客户的数据只需要与代理端口进行交互,反向代理设备在与真实的服务器进行交互。

客户端与反向代理设备的数据交互是怎么交互的?

客户端-------web应用反向代理设备-----真实服务器

如图所示:

client先与waf的代理口G1/3完成三次握手

然后waf的代理口G1/3再与sever1完成三次握手

大家可以在这里思考一下,流量从客户端到服务器和流量从服务器到客户端的流量走向是否有区别?http,https与其他类型的流量走向是否也有区别呢?答案放在全文后后面

这样部署web应用防护墙和直连部署有什么区别呢?

  1. 由于客户需要提升服务器的安全性,需要对外和对内所有的用户均隐藏服务器的真实ip地址,让攻击者无法得到真实的服务器ip地址
  2. 由于代理ip只有一个,如果有多台服务器集群需要防护,则需要修改和区分需要防护服务器的http和https端口,用端口号来区别对应的站点流量
  3. 相较于串联部署,反向代理改变了网络拓扑结构。需要交换机提供一个额外的接口给waf。
  4. 只有http和https流量会经过waf,其他类型的流量则直接发送给服务器,相较于串联部署模式可以减少对于服务器的压力。

对于前面的提问:

流量从客户端到服务器和流量从服务器到客户端的流量走向是否有区别?

答:是没有区别的

http,https与其他类型的流量走向是否也有区别呢?

http,https类型流量走向:客户端---web应用防火墙---服务器

非http,https流量走向:客户端---服务器

可能会有小伙伴会提问TLS类型的流量web应用防火墙能防护吗?交换机该怎么进行配置呢?大佬们可以评论区畅所欲言。。。

recklesszhang
关注
P2P技术详解(一):NAT详解——详细原理、P2P简介(转)
隔壁老瓦的专栏
09-17 2495
这是一篇介绍NAT技术要点的精华文章,来自华3通信官方资料库,文中对NAT技术原理的介绍很全面也很权威,对网络应用应用层开发人员而言有很高的参考价值。   《P2P技术详解》系列文章 ➊ 本文是《P2P理论详解》系列文章中的第2篇,总目录如下:   《P2P技术详解(一):NAT详解——详细原理、P2P简介》(本文) 《P2P技术详解(二)...
46、47-绕过WAF(Web应用程序防火墙)--介绍、主要功能、部署模式、分类及注入绕过方式等
XLbb的博客
06-03 2243
网站WAF是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。功能涵盖了网马/木马扫描、防SQL注入、防盗链、防CC攻击、网站流量实时监控、网站CPU监控、下载线程保护、IP黑白名单管理、网页防篡改功能等模块。能够为用户提供实时的网站安全;IP黑白名单功能允许用户设置个性化的IP信任列表,直接屏蔽或者允许指定IP访问网站。同时,增加iP临时黑名单功能,以及实现了针对某个功能的iP白名单功能。同时,爬虫白名单提供爬虫信任机制,在出现误拦截情况下,允许用户自定义爬虫信任。
Linux防火墙上的Apache反向代理
zhangzimu88的专栏
01-14 548
Linux防火墙上的Apache反向代理关键词: Linux防火墙上的Apach                                          一、测试环境与网络结构  本文所使用的测试环境是Redhat Linux 7.2、Apache 1.3.24,公司域名假设是company.com。公司的典型网络构造如附图所示。    注意: 附图中的防火墙上安装了
TongWeb高可用集群搭建快速入门
最新发布
weixin_59691555的博客
05-21 559
我还是说点人话, 那就见下图, 在主、备两台服务器上都安装配置完 keepalived,会产生一个虚拟 IP,虚拟 IP 会在主、备服务器上根据服务的状态进行漂移(即 192.168.1.3 可能出现在主服务器,也可能出现在备服务器),同一时刻只可能有一个服务器拥有虚拟 IP,用户只通过虚拟 IP 进行业务访问。单个服务器解决不了并发需求,我们增加服务器的数量,然后将请求分发到各个服务器上,将原先请求集中到单个服务器上的情况改为将请求分发到个服务器上,将负载分发到不同的服器,也就是我们所说的负载均衡。
Tonghttpserver 反向代理设置问题记录
The Home Of Salt Fish
08-05 5844
在项目国产化适配过程中,使用tonghttpserver进行反向代理时遇到的问题记录一下。 windows下安装tonghttpserver 参照说明文档需要注意的是 一定需要注意斜杠与反斜杠不然httpserver.exe执行会报路径错误导致启动失败。 ths的配置和apache配置类似,如果熟悉apache反向代理的话,可以直接上手配置了。 下面是一个本地8080端口代理本地的8089端口程序的示例,博主用的是TongHttpServer5.0.0.1。 #HTTP port: ..
WAF反向代理模式的基本工作原理
qq_43561770的博客
11-17 1031
通过这种方式,WAF反向代理模式能够在Web应用程序和潜在的恶意流量之间建立一道防线,提高应用程序的安全性,防范诸如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等常见的Web攻击。如果WAF检测到潜在的攻击行为,它可以采取多种措施来应对,例如阻止请求、清理恶意代码、修复恶意请求,或者记录日志以进行进一步的分析。WAF会分析传入的HTTP请求,包括请求头、请求体和其他相关信息。经过WAF的合法请求将被允许通过,最终传递到后端Web服务器,实际处理请求并生成响应。
站库分离技术--反向代理技术-雷池云WAF-给自己搭建一个安全点的网站
书山有路勤为径,学海无涯苦作舟
03-06 2129
Ubuntu 系统的默认用户名是 ubuntu,并在安装过程中默认不设置 root 账户和密码。您如有需要,可在设置中开启允许 root 用户登录。docker链接本地的数据库主机用host.docker.internal。用docker下载的mysql则用数据库ip进行连接。wordpress网站后台这里设置不带端口。#进入mysql数据库–123456。#设置mysql允许访问。以后记得备份这两个目录哟。
阿里云SLB最佳实践
热门推荐
faydd3的博客
09-01 2万+
一、SLB概念 负载均衡(Server Load Balancer)是将访问流量根据转发策略分发到后端多台云服务器(Elastic Compute Service,简称 ECS)的流量分发控制服务。 负载均衡服务通过设置虚拟服务地址,将位于同一地域的多台ECS实例虚拟成一个高性能、高可用的应用服务池;再根据应用指定的方式,将来自客户端的网络请求分发到云服务器池中。负载均衡服务是ECS面向多机方...
Asp.net core2.0快速入门笔记(又名七日速成)
06-15
- 配置反向代理。 - **端口开放**: - 开放 HTTPHTTPS 端口。 - 配置防火墙规则。 **1.6 在 CentOS 上安装 .NET Core 运行时** - **下载运行时**: - 从微软官方文档获取安装指南。 - 下载适用于 CentOS 的 ...
python opencv毕业论文(毕设)题目建议
HUXINY的博客
07-02 2129
Hi,大家好,这里是丹成学长,大四的同学马上要开始毕业设计啦,大家做好准备了没!学长给大家详细整理了计算机毕设最新选题,对选题有任何疑问,都可以问学长哦~毕设帮助,开题指导,资料分享,疑问解答(见文末)🧿选题指导, 项目分享:见文末。
算法类毕设任务书建议
HUXINY的博客
04-27 2162
Hi,大家好,这里是丹成学长,大四的同学马上要开始毕业设计啦,大家做好准备了没!学长给大家详细整理了计算机毕设最新选题,对选题有任何疑问,都可以问学长哦~毕设帮助,开题指导,资料分享,疑问解答(见文末)🧿选题指导, 项目分享:见文末。
正向代理 & 反向代理模式 & 透明代理
qq_29191321的博客
10-10 567
一、正向代理 正向代理(forward)是一个位于客户端【用户A】和原始服务器(origin server)【服务器B】之间的服务器代理服务器Z】,为了从原始服务器取得内容,用户A向代理服务器Z发送一个请求并指定目标(服务器B),然后代理服务器Z向服务器B转交请求并将获得的内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理。 所谓的正向代理就是代理服务器 替代访问方【用户A】去访问...
Nginx 反向代理获取设备真实的IP地址
limeOracle的博客
05-08 211
package com.das.common.util; import org.apache.commons.lang3.StringUtils; import org.springframework.web.context.request.RequestContextHolder; import org.springframework.web.context.reques...
WAF nginx反向代理和透明代理
向往天空的鱼
10-12 1440
下面看一下实例:反向代理(10.0.13.222)和透明代理(10.0.1.66)站点。 反向代理: Nginx自带反向代理功能,只需在Linux系统上开启相应的端口。 反向代理规则链移植: iptables -t filter -N waf_proxy iptables -t filter -A INPUT -j waf_proxy iptables -A waf_proxy -p t...
网络面试(8)】防火墙原理、正向代理反向代理、缓存服务器、负载均衡和内容分发服务器
qq_35850405的博客
12-19 1772
作为一个程序员,其实很少去了解http请求消息在到达服务器之前,所经过的众多组件的,今天借着机会聊一聊标题中提到的正向代理反向代理、缓存服务器、负载均衡和内容分发服务器等内容。
站库分离技术--反向代理技术-雷池云WAF-给自己搭建一个安全点的网站_雷池waf启用proxy protocol(1)
weixin_58085973的博客
04-12 663
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
Tongweb7049m4+THS6010-6012配置故障轉移+重試机制(by lqw)
weixin_39938069的博客
10-11 630
本次示范使用两台服务器(113和114),分别搭建两套ths和两套tongweb做负载均衡和反向代理,浮动ip使用151,tongweb部分配置了测试用的ssl证书(如何配置ssl的可自行百度)。然後可以自己在命令行頁面kill掉其中一台服务器上的tongweb进程,或者在其中一台tongweb控制台上停止该应用(生产环境不推荐,本文只是做测试才用)。2.即使在tongweb重启了,有的应用启动也需要一定的时间,这个时候只是启动了应用端口,ths仍有可能轮询在对应的tongweb上。
WAF几种代理模式详解
m0_72210904的博客
05-23 2317
WAF的具体作用就是检测web应用中特定的应用,针对web应用的漏洞进行安全防护,阻止如SQL注入,XSS,跨脚本网站攻击等。
1.2-WAF\CDN\OSS\反向代理\负载均衡
XXokok的博客
03-28 956
基础入门
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值