云WAF核心防护模式

1. 反向代理模式（Proxy Mode）

原理：  云WAF作为反向代理服务器，位于用户与源站之间，所有访问流量需先经过WAF转发。WAF解析HTTP/HTTPS请求，执行规则过滤、漏洞扫描、恶意行为拦截等操作后，再将合法流量转发至源站。  技术特点：  

• 深度防护能力：支持URL过滤、SQL注入防护、XSS拦截、CC攻击防护等全量规则检测，可精准识别请求中的恶意载荷。  

• 协议兼容性：完整支持HTTP/2、WebSocket等现代协议，适合复杂业务场景（如电商交易、政务portal）。  

• 流量劫持风险：需修改DNS解析或网络路由，将域名解析指向WAF节点，可能涉及域名CNAME配置或IP接管。  等保适配场景：  

2. 透明模式（透明代理/桥接模式，Transparent Mode）

原理：  云WAF以“透明桥接”方式接入网络，无需修改用户域名解析或源站IP，流量通过二层网络透明流经WAF设备（或云节点），实现“无感防护”。  技术特点：  

• 部署便捷性：无需改变现有网络架构，适合无法调整DNS或路由的老旧系统（如工控网络、传统ERP系统）。  

• 局限性：部分云WAF厂商的透明模式不支持HTTPS加密流量解析，需配合SSL卸载功能（可能增加部署复杂度）。  等保适配场景：  

3. DNS模式（域名解析模式，DNS Mode）

原理：  通过修改域名的DNS解析记录（CNAME指向云WAF节点），将用户请求导向WAF集群，WAF处理后再转发至源站IP。  技术特点：  

• 分钟级部署：无需接触服务器端配置，适合紧急上线的业务（如临时活动页面、移动应用API接口）。  

• 防护粒度：主要针对HTTP/HTTPS协议层攻击，对TCP层以下的攻击（如SYN Flood）需配合DDoS防护产品。  
  

4. API模式（API防护模式，API Security）

原理：  针对API接口（如RESTful、GraphQL）的特性，通过识别API路径、参数、权限等特征，提供精细化防护（如防止越权访问、接口滥用、数据泄露）。  技术特点：  

• 协议针对性：基于OpenAPI规范或自定义API文档，实现“参数校验”“身份认证”“流量限速”等功能。  

  联动能力：可与云平台的IAM（身份管理）、API网关等服务集成，形成“认证-授权-防护”闭环。