WAF 在 Web 應用程式與網際網路之間建立一個護盾;此護盾可協助緩解多個常見攻擊。
閱讀本文後,您將能夠:
複製文章連結
WAF(Web 應用程式防火牆)可透過篩選和監視 Web 應用程式與網際網路之間的 HTTP 流量,保護 Web 應用程式。它通常可保護 Web 應用程式免受跨網站偽造、跨網站指令碼 (XSS)、檔案包含及 SQL 資料隱碼攻擊等攻擊。WAF 是一種第 7 層通訊協定防禦 (OSI 模型中),它不用於抵禦所有類型的攻擊。此攻擊防禦方式通常是部分工具套件,可聯合建立對一系列攻擊向量的整體性防禦。
在 Web 應用程式前端部署 WAF,即可在 Web 應用程式與網際網路之間設定一個護盾。盡管 Proxy 伺服器能透過使用中繼服務來保護用戶端機器的身分識別,但 WAF 是一種反向 Proxy,可使客戶在到達伺服器前通過 WAF,從而避免伺服器暴露。
WAF 透過一組稱為原則的規則運作。這些原則旨在透過篩選出惡意流量來抵禦應用程式中的漏洞。WAF 的價值部分來自於原則修改得以實施的速度和簡易性,便於更快回應不同的攻擊向量;在 DDoS 攻擊中,可透過修改 WAF 原則來快速執行 Rate Limiting。
基於封鎖清單 (負面安全性模型) 運作的 WAF,能抵禦已知攻擊。將一個封鎖清單 WAF 設想成一名接收命令的俱樂部保鏢,他可以拒絕讓不符合著裝規範的客人進入。相反,基於白名單 (正面安全性模型) 的 WAF 僅承認經過預先核准的流量。這就好比一個專屬派對的保鏢,他或她僅承認列於此名單中的人員。封鎖清單與白名單均具有各自的優缺點,這就是許多 WAF 提供可同時執行兩項操作的混合安全性模型的原因。
WAF 可使用上述三種不同方法之一來執行,每種方法各有其自身的優缺點:
瞭解 Cloudflare 的雲端型 WAF 解決方案。