部署模式

应用防护模式（Sidecar）

应用防护模式基于 Sidecar 设计模式，我们的WAF产品可以为需要保护的应用容器组加载专门的WAF容器。在这种模式下，WAF作为一个单独的进程，与主应用进行松耦合的合作，但不会侵入主应用的运行。这意味着我们可以为应用增加防护功能，而不需要在应用代码中加入任何与安全相关的配置。

通过这种方式，主应用可以专注于其主要功能，而所有的安全防护工作则由WAF来完成。每个应用防护模式的WAF都拥有其独立的规则集，这意味着每个应用的防护规则都可以根据其特定的需求进行定制，从而提高防护效率。

此外，由于应用防护模式的WAF设计轻量级且支持旁路部署，它可以在不影响主应用的情况下，监听和分析流量，一旦检测到异常流量，即可触发告警。这种动态的防护模式能够与前端安全设备进行交互，实时更新安全策略，提供持续的防护。

集群防护模式基于 Ingress 设计模式，Ingress在此处表示入口，Kubernetes Ingress的作用是将外部流量引导到集群中的Ingress Controller，而我们的Ingress-WAF就扮演了这个角色，实际上它就是集群内部的一个L7负载均衡器。

集群防护模式的WAF由两个部分组成：waf-ingress-controller和waf-ingress。其中，waf-ingress-controller根据Ingress的声明实现动态配置，而waf-ingress则负责将业务流量引导至Ingress-WAF实例。

部署集群防护模式的WAF后，业务流量首先会被引导到Ingress-WAF。在这里，流量会根据用户预先定义的规则进行过滤，如果满足转发条件，流量就会被转发到实际的Web服务。

我们建议用户为每个Kubernetes集群部署集群防护模式的WAF，并加载通用的WAF防护策略。这样，就可以为集群内所有需要对外提供服务的Web应用提供统一的安全防护。