防火牆、waf、ips和ddos的部署

防火牆、waf、ips和ddos的部署
網上的文抄來抄去，原創和實際案例不多。我針對我公司的部署情況寫下幾點經驗。
1.防火牆在各個區：互聯網接入區、生產區、管理區、預生產區、都要進行隔離，架設防火牆。透明模式爲佳。
2.waf的部署建設初期可以採用旁路模式，之後採用串接。反向代理模式一般不選。因爲後端都有負載均衡服務器，會有反向代理存在，而且牽涉到域名比較麻煩。分開處理。
3.ips可以採取
4.另外還有接入的順序問題，waf接入靠近web服務器。保證訪問web的流量都從waf經過。ddos部署在最前端，如果接在防火牆後面，流量大了直接就把防火牆打死。所以一般順序是ddos》ips》防火牆。把***抵擋在外面，防火牆就不需要處理***包，提高性能。
5.因爲都利用串接橋設備，所以在部署中，最關鍵倒是核心交換機必須有，下面的網段都要接入核心交換機，如果沒有，將導致不能全面覆蓋全網。比如有兩臺核心交換機的話，就需要兩臺個網橋。但是如果沒有直接連接入路由設備，會導致無處部署。