我已经讲解了许多hack的攻击方法，难以创建防御机制。尤其是在你是网络应用经理而不是开发公司时，这基本上是一个不太可能实现的任务。但而，安全制造商现已发布了网络应用程序，能够智能拦截可能是恶意攻击的要求。现阶段，大部分网络应用都遭受WAF的防护。

可是，一切说真的告一段落了吗？要明白许多攻击者本身便是网络大v，或许报名参加过WAF产品的开发。因而，掌握WAF的基本原理和hack如何处理WAF也很重要。仅限于篇数，此章不讲解编码，只讲解WAF的原理。不是说以前经过一家甲方企业的这种启明星辰的那种硬件WAF，他在这个部署的过程中遇到这种异常流量会导致这个硬件摆pass，那导致硬件pass就会导致你的流量直接 WAF直接把它丢到后端的服务，外部应用服务器上面去了，导致你这种拦截性因为根本就失效了。

当然这这种bug可能常见于这种硬件设备，但也不排除这种其他几个厂商没有。所以说这种类似的这种硬件WAF其实是绕过去。再讲一下WAF的这几种部署模式。从4种模式，第一个是这种基于DNS解析的这种模式，它主要是指的就是云云化服务的这种架构比较多，就是让你的域名解析经过它的一个反向代理服务器，然后其实它的检测逻辑全在它那在反向代理服务器上面，所有的流量就经过这个反向代理服务器之后进检测，检测没有问题再转发给后端的外部服务器。

另外第二种就是这种串联模式，串联模式中又分了两种，一种是这种返现代理模式以及一种特透明代理模式，它主要是指在硬件防火墙的这种架构上面，反正代理模式呢会改变原有网络拓扑，Q真实的客户端IP会以IP做HTTP和那个里面的explore的这种头传递给后端web server。

透明代理模式呢可以再不改变，就原有拓扑的结构的情况下直接部署。第三种是朋友模式，朋友模式也是有一种先天性的优势，就是它针对大容量的情况下，这种方案是比较有效的，但是它有缺点也很明显，就是这种造型以及无法对这种检测的攻击行为进行阻断，当然这是指的是这种单点的部署的情况下，他可以借助一些联动机制去下发这种阻断，它主要指的是在交换机上利用这种流量镜像的技术，然后讲业务的流量分发分类的这种文化产品，它的优点就其实是不会影响这种业务稳定性，因为其实袜子的稳定性就决定你做在这个这个甲方业务的这个架构中是一个很重要的一点，因为其实WAF很怕出现这种单点故障，所以往往甲方企业会利用一个分布式的一个就是多多点的一个多活的这么一个我是去部署规划。