梭子鱼Web应用防火墙白皮书（2）

　　加速：除了WEB应用的安全性，数据中心还负责应用的可用性和响应时间。将加速功能 (TCP 池，缓存，GZIP压缩)和可用性功能（负载均衡，内容交换，健康检查）在一个单一的节点处结合起来会显著地简化数据中心的体系结构，以此来降低成本。

　　梭子鱼NetContinuum 应用防火墙的安装

　　梭子鱼应用防火墙部署简便灵活，共有4种部署方式。

　　" 单臂模式

　　单臂模式是目前为止用于残品测试的最透明和最简单的方式，不会影响网络中的其他流量。在单臂模式下，只有HTTP和HTTPS流量会被指到控制器，控制器处于DMZ区。控制器检查这些流量，转发给服务器，记录所有违背安全策略的行为。单臂模式是一种让用户"进入"第7层安全应用的方便的方法。

　　" 桥模式

　　桥模式是指在两台运行的设备中间插入控制器，但是对流量并不产生任何影响。在桥模式下，控制器阻断第7层的应用攻击，但是让其他的流量通过。桥模式是部署最为简便的方式。桥模式是透明的，所以不会干预任何网络中的设备。然而，某些功能在桥模式下是无法启用的，比如负载均衡，内容交换和网络防火墙。

　　" 代理模式

　　代理模式为您的应用结构提供了最高程度的保护。然而，这种模式要求应用的IP地址在控制器的控制之下。这种模式通常在数据中心与系统相兼容并且已准备好作为代理设备的情况下使用。

　　· 主动/被动 安全性增强

　　此外，以上每一种模式可以运行在主动或者被动模式。在被动模式下，控制器不会执行策略。仅仅让流量通过，始终学习、报告和记录事务日志。对于理解应用的行为和提供有价值的信息来将控制器移入应用数据流是非常有用的。只有在主动模式下，控制器才会执行安全策略。

　　" 备机

　　NetContinuum 控制器拥有stateful failover功能。在主控制器失败的情况下（由于软件出错，网络连接出错等），备用控制器能够安全、有效地进行接替。没有流量丢失。

　　" 穿透功能

　　NetContinuum 控制器包含可选的网络层fail open功能。 若控制器的硬件、PSU或软件出错，控制器会把自己从网络中移除，使所有流量都能到达后面的设备。任何控制器的问题都不会导致应用的失效。