防火墙、waf、ips和ddos的部署

防火墙、waf、ips和ddos的部署
网上的文抄来抄去，原创和实际案例不多。我针对我公司的部署情况写下几点经验。
1.防火墙在各个区：互联网接入区、生产区、管理区、预生产区、都要进行隔离，架设防火墙。透明模式为佳。
2.waf的部署建设初期可以采用旁路模式，之后采用串接。反向代理模式一般不选。因为后端都有负载均衡服务器，会有反向代理存在，而且牵涉到域名比较麻烦。分开处理。
3.ips可以采取
4.另外还有接入的顺序问题，waf接入靠近web服务器。保证访问web的流量都从waf经过。ddos部署在最前端，如果接在防火墙后面，流量大了直接就把防火墙打死。所以一般顺序是ddos》ips》防火墙。把***抵挡在外面，防火墙就不需要处理***包，提高性能。
5.因为都利用串接桥设备，所以在部署中，最关键倒是核心交换机必须有，下面的网段都要接入核心交换机，如果没有，将导致不能全面覆盖全网。比如有两台核心交换机的话，就需要两台个网桥。但是如果没有直接连接入路由设备，会导致无处部署。