在混合云环境下 WAF 的最佳部署架构是什么

反向代理模式

• 架构描述：将网站域名或 IP 接入 WAF，并将 DNS 解析指向 WAF 的防护集群地址。所有来自客户端的请求先到达 WAF，经 WAF 检测过滤后，再将合法请求转发到后端的源服务器

 

• 适用场景：适用于可变更网络架构，业务流量规模不是特别大的用户场景，如互联网、零售、政府、金融、传媒等行业

 

• 优势：对现有网络架构的改动相对较小，易于实施。能够对所有进入的流量进行全面的安全检测和过滤，有效防止各类攻击。可以隐藏后端源服务器的真实 IP 地址，增加服务器的安全性。

SDK 集成模式

• 架构描述：在统一接入网关上部署 SDK 插件，SDK 插件会将网关的业务流量复制一份到 WAF 防护集群。混合云 WAF 防护集群不参与流量转发，实现业务转发与检测分离

 

• 适用场景：适合存在 Nginx 统一接入层，具有较强运维能力，且流量规模大，对延时和稳定性要求极高的用户，例如头部互联网客户和对转发功能有特殊需求的客户

 

• 优势：业务转发与检测分离，不会因 WAF 的检测而增加额外的转发延迟，保证了业务的高性能和低延迟。可以灵活地根据业务需求定制流量复制和检测的规则，实现更精细化的安全管理。

混合云接入模式

• 架构描述：通过在本地机房引入和整合云 WAF 的防护能力，形成混合云 WAF 集群。本地服务器安装 WAF 客户端与云 WAF 服务端通信，实时同步防护规则和威胁情报等信息。业务流量可以根据需要在本地和云端之间进行调度和防护

 

• 适用场景：适用于业务同时部署在阿里云、其他公共云、私有云、线下 IDC、VPC 内网等多种环境，需要统一的 Web 业务防护方案的场景，以及对时延敏感、可靠性要求高，需要跨多网络环境做多活容灾的统一防护的业务
• 优势：支持云上、云下资产和防护策略的统一管控，方便企业进行集中管理和运维。能够就近防护客户业务，减少网络延迟，提高防护效果。实时同步云上防护规则和威胁情报，保证防护的及时性和有效性

 

结合 CDN 和负载均衡的架构

• 架构描述：客户端请求先经过 CDN，CDN 将请求转发到 WAF，经过 WAF 的安全检测后，再通过负载均衡将请求分发到后端的多个源服务器。其中，负载均衡可以根据服务器的负载情况动态地分配流量，确保各服务器的负载均衡，提高系统的整体性能和可用性