FortiWeb部署模式介绍.PDFVIP

FortiWeb 部署模式介绍 版本 1.1 时间 2016 年12 月 支持的版本 FortiWeb -v5.0.x 以上 作者 李威峰 状态 草稿 反馈 support_cn@ 目录 简介3 在线模式3 拓扑3 数据流3 纯粹透明代理模式5 拓扑5 数据流5 透明模式6 拓扑6 数据流6 离线保护模式7 拓扑7 数据流7 WCCP 模式8 拓扑8 数据流8 部署模式选择9 各种工作模式下的功能对比10 简介 FortWeb 有五种工作模式，分别为“在线保护”/ “纯粹透明代理”/ “透明 模式”/ “离线模式”“WCCP ”模式， 经常有工程师在部署FortiWeb 的时候会 问到，有什么区别，应该如何选择，本文详细介绍这部分。如果需要了解各种模 式的配置过程和细节，请参考其它文档。 在线模式 拓扑 为了与其它模式有明显的区别，使用了以上拓扑来表达在线模式， 实际中往往是单臂部署，而不是串在网络中。 数据流 ClientFortiWeb （VIP ）FortiWeb （Src-IP）WebServer 1.客户端访问FortiWeb 发布的VIP （不能直接访问物理IP） 2.FortiWeb 把VIP 转换成Web-Server 物理IP。 3.FortiWeb 检测安全策略。 4.FortiWeb 以距离物理 Web-Server 最近的接口访问物理服务器。源地址为 FortiWeb 出接口IP。 5.物理Web—Server 返回报文给FortiWeb-IP 6.FortiWeb 转换源物理IP 为VIP ，源IP 为VIP 返回给客户端。 注意事项： 1. 在物理Web_Server 上，看到的HTTP 客户端的IP 全部为FortiWeb 的IP 2. 如果需要在 Web_Server 上看到真实客户端的 IP ，需要启用 FortiWeb 的 X-forwarded-for 特性，插入到HTTP 的header 中。 配置如下： 纯粹透明代理模式 拓扑 数据流 ClientFortiWeb(透明代理)WebServer 1.客户端访问物理Web-Server 。 2.FortiWeb 代理这个请求（冒充Web-Server ）。 3.FortiWeb 检测安全策略。 4.FortiWeb 冒充客户端发起到Web-Server 的访问。 5.物理Web—Server 返回报文给FortiWeb-代理。 6.FortiWeb 代理返回给客户端。 注意事项： 1. FortiWeb 打断三层通讯，即对网络层“透明”。 2. 在Web—Server 上看到的为真实客户端的IP。 透明模式 拓扑 数据流 ClientWebServer 1.客户端访问物理Web-Server 。 2.FortiWeb”看”这个请求。 3.FortiWeb 检测安全策略。如果发现请求有问题，发TCP-Reset 报文给Server 和 Client 。 4.客户端访问WebServer 。 注意事项： 1.FortWeb 不打断三层通讯，即对网络层真正透明。 2.在Web—Server 上看到的为真实客户端的IP。 离线保护模式 拓扑 数据流 ClientWebServer 1.客户端访问物理Web-Server 。 2.其它网络设备镜像流量给FortiWeb。 3.客户端访问WebServer 。 4.FortiWeb 分析 Copy 过来的流量并检测安全策略。如果发现请求有问题，发 TCP-Reset 报文给Server 和Client 。 注意事项： 1.FortWeb 不打断三层通信，即对网络层真正透明。 2.在Web—Server 上看到的为