单臂模式：

　　单臂模式只使用WAN口对内外的流量进行过滤。由于只适用一个网络接口，吞吐量略差。

　　优点：无需改变现有网络结构及IP设置，配置速度快，易于与现存负载均衡集群融合。

　　缺点：吞吐量差;可直接访问源服务器，安全性差;需要更改DNS指向。

　　该模式在当前测试环境下无应用场景，所以不予考虑。

　　反向代理模式：

　　以串联方式安装，同时使用WAN口和LAN 口。提供最高的安全性，需要改变当前的网络设置。

　　优点：设备功能支持全面(负载均衡等);服务器隔离，安全性高;

　　缺点：对网络结构改动较大，部署需中断业务;需要更改原Web服务器的IP地址。

　　反向代理模式可单独对每台服务器配置反向代理，也可以配置反向代理负载均衡集群;本次测试直接对server1和server2进行反向代理下的负载均衡集群模式测试。如采用单独服务器配置，其测试结果各项指标势必比集群模式下高，可直接参考本次集群模式测试结果。

　　配置节点：

　　点击“编辑”可进行集群配置：

　　负载均衡支持3种模式：权重轮询，普通round robin轮询，按请求数量轮询;如需保持会话状态，可选择source IP，cookie insert，cookie passive 其一，视情况而定。

　　另外一点，failover method除load balance外还支持冗余容错模式，可适用于重要业务的热备机场景。在网站应用中较常见。

　　首先进行性能测试：

　　20线程的cc攻击结果：

　　40线程的cc攻击结果：

　　客户端：服务器端(以server2为例)：

　　460防火墙：

　　可见，此类攻击几乎完全被过滤，防火墙负载很低，不过性能状态页面的服务器状态获取似乎有点问题，显示为 active servers: 0/2 ，而实际上2台server服务状态正常，都可正常访问，但刷新页面后显示正常：

　　下面进行正常web请求的压力测试：

　　对200KB静态文件模拟10000并发：

　　Client端连接数状态：

　　Server1连接数状态：

　　server2 连接数状态：

　　注： server2为2008系统，用netstat统计当前连接情况添加过滤会显示IPV4和IPV6数据，所以有“当前连接=0”的隔行记录。

　　460防火墙负载情况：

　　Webstress报告：

　　Number of hits: 901283

　　Requests per Second: 3760.71

　　Socket Statistics

　　--------------------------------------------------------------------------------

　　Socket Connects: 910909

　　Total Bytes Sent (in KB): 222506.06

　　Bytes Sent Rate (in KB/s): 928.43

　　Total Bytes Recv (in KB): 2342558.01

　　Bytes Recv Rate (in KB/s): 9774.59

　　Socket Errors

　　--------------------------------------------------------------------------------

　　Connect: 644

　　Send: 0

　　Recv: 6978

　　Timeouts: 0

　　综上，反向代理模式下的负载均衡集群，对连接请求的分发还是较均匀的，防火墙自身负载也比较理想。Web服务器端的测试环境均为系统默认配置，如进行应用服务器和网络参数的调优后，数值可以更加理想。单从目前压力测试结果来说，已经可以满足需求。

　　接下来进行安全方面测试，使用工具和安全规则及各项参数同“桥模式”：

　　防火墙过滤结果：

　　测试工具报告：

　　过滤成功率99.99%以上。

　　综合反向代理模式的性能和安全考核结果，该模式最为适合网站业务，而且能够充分利用和发挥防火墙设备的功能优势。暂定为首选采纳方案。

　　日志记录：

　　防火墙的各类日志和操作系统日志，应用程序日志对日常维护和管理人员来说是非常重要的。日志可以帮助我们找到入侵的蛛丝马迹，进行封堵，改进程序，强壮网站的整体安全性。

　　460防火墙的日志系统分三个部分：防火墙日志，访问日志，审核日志。

　　防火墙日志记录匹配防火墙策略被处理的请求，如下图：

　　访问日志和IIS/APACHE等web应用服务器的日志相似，记录访问请求的情况：

　　审核日志记录的是对于防火墙系统自身的配置更改的操作记录。

　　对日常维护管理都是必须和有效的帮助。

　　“梭子鱼460”这款WAF的操作性和易用性，通过实际测试过程的体验，总结如下：

　　功能强大，配置项目也就繁多，WEBUI布局设计比较合理，如果有过防火墙类似设备的配置经验上手较快，各配置项也易于理解。每个页面都有帮助按钮，随时可以参考帮助和建议信息，方便实用。易用性较好。

　　测试全程不满意的地方就是WEBUI首页“系统状态”的加载速度过慢。无论防火墙系统负载情况高低，该页面的加载速度都不够迅速，而日常运维工作中，该页面和几项显示日志的页面，访问频率应该是最高的，体验不佳。联系梭子鱼技术支持工程师后得知，这是由于设备在测试之前没有临时激活导致的。相信正常用户使用时都会经过正式激活，所以不会存在上述问题。

　　总结：BARRACUDA WAF 460 web应用防火墙，产品性能表现良好，功能全面，配置管理操作性良;安全方面做得很到位。其反向代理模式，安全性最高，支持功能最完善，适用于当前生产环境，配合企业边缘防火墙和服务器端的安全策略，可以有效应付现今的各种攻击手段。对于大中型企业来说，可以采取产品支持的HA部署(冗余热备)，可以有效解决单点故障的困扰。