跳到主要内容

部署模式

应用防护模式(Sidecar)

应用防护模式基于 Sidecar 设计模式,我们的WAF产品可以为需要保护的应用容器组加载专门的WAF容器。在这种模式下,WAF作为一个单独的进程,与主应用进行松耦合的合作,但不会侵入主应用的运行。这意味着我们可以为应用增加防护功能,而不需要在应用代码中加入任何与安全相关的配置。

通过这种方式,主应用可以专注于其主要功能,而所有的安全防护工作则由WAF来完成。每个应用防护模式的WAF都拥有其独立的规则集,这意味着每个应用的防护规则都可以根据其特定的需求进行定制,从而提高防护效率。

此外,由于应用防护模式的WAF设计轻量级且支持旁路部署,它可以在不影响主应用的情况下,监听和分析流量,一旦检测到异常流量,即可触发告警。这种动态的防护模式能够与前端安全设备进行交互,实时更新安全策略,提供持续的防护。

集群防护模式(Ingress)

集群防护模式基于 Ingress 设计模式,Ingress在此处表示入口,Kubernetes Ingress的作用是将外部流量引导到集群中的Ingress Controller,而我们的Ingress-WAF就扮演了这个角色,实际上它就是集群内部的一个L7负载均衡器。

集群防护模式的WAF由两个部分组成:waf-ingress-controller和waf-ingress。其中,waf-ingress-controller根据Ingress的声明实现动态配置,而waf-ingress则负责将业务流量引导至Ingress-WAF实例。

部署集群防护模式的WAF后,业务流量首先会被引导到Ingress-WAF。在这里,流量会根据用户预先定义的规则进行过滤,如果满足转发条件,流量就会被转发到实际的Web服务。

我们建议用户为每个Kubernetes集群部署集群防护模式的WAF,并加载通用的WAF防护策略。这样,就可以为集群内所有需要对外提供服务的Web应用提供统一的安全防护。