什麼是 WAF？ | Web Application Firewall 說明

什麼是 Web Application Firewall (WAF)？

WAF（Web 應用程式防火牆）可透過篩選和監視 Web 應用程式與網際網路之間的 HTTP 流量，保護 Web 應用程式。它通常可保護 Web 應用程式免受跨網站偽造、跨網站指令碼 (XSS)、檔案包含及 SQL 資料隱碼攻擊等攻擊。WAF 是一種第 7 層通訊協定防禦 (OSI 模型中)，它不用於抵禦所有類型的攻擊。此攻擊防禦方式通常是部分工具套件，可聯合建立對一系列攻擊向量的整體性防禦。

在 Web 應用程式前端部署 WAF，即可在 Web 應用程式與網際網路之間設定一個護盾。盡管 Proxy 伺服器能透過使用中繼服務來保護用戶端機器的身分識別，但 WAF 是一種反向 Proxy，可使客戶在到達伺服器前通過 WAF，從而避免伺服器暴露。

WAF 透過一組稱為原則的規則運作。這些原則旨在透過篩選出惡意流量來抵禦應用程式中的漏洞。WAF 的價值部分來自於原則修改得以實施的速度和簡易性，便於更快回應不同的攻擊向量；在 DDoS 攻擊中，可透過修改 WAF 原則來快速執行 Rate Limiting。

封鎖清單與白名單 WAF 之間有哪些差異？

基於封鎖清單 (負面安全性模型) 運作的 WAF，能抵禦已知攻擊。將一個封鎖清單 WAF 設想成一名接收命令的俱樂部保鏢，他可以拒絕讓不符合著裝規範的客人進入。相反，基於白名單 (正面安全性模型) 的 WAF 僅承認經過預先核准的流量。這就好比一個專屬派對的保鏢，他或她僅承認列於此名單中的人員。封鎖清單與白名單均具有各自的優缺點，這就是許多 WAF 提供可同時執行兩項操作的混合安全性模型的原因。

什麼是網路型、主機型和雲端型 WAF？

WAF 可使用上述三種不同方法之一來執行，每種方法各有其自身的優缺點：

• 網路型 WAF 通常基於硬體。它們安裝於使延遲保持最低的本地，但網路型 WAF 是費用最貴的選項，而且需要實體設備的儲存和維護。
• 主機型 WAF 可以完全整合到應用程式軟體中。此一解決方案和網路型 WAF 相比起來沒那麼貴，而還有更多的可自訂性。不過主機型 WAF 的缺點就是會消耗本機伺服器資源、實施起來很複雜，以及維護成本高等問題。這些組合通常需要工程時間，還可能很昂貴。 .
• 雲端型 WAF 具有價格實惠的選項，該選項易於實施；它們通常提供周全的安裝，該安裝與變更 DNS 以重新導向流量一樣簡單。雲端型 WAF 的預付費用也是最低的，使用者可以按月或按年支付此服務以獲取安全性。基於雲端的 WAF 還可以提供一款解決方案，可持續更新以防禦最新威脅，而無需使用者端進行任何額外的工作或花費任何額外成本。雲端型 WAF 的缺點在於，使用者會將責任移交至第三方，這樣一來，WAF 的某些功能可能成為他們的黑箱。（基於雲端的 WAF 是一種雲端防火牆；瞭解有關雲端防火牆的更多資訊。）

瞭解 Cloudflare 的雲端型 WAF 解決方案。