什麼是 WAF? | Web Application Firewall 說明

WAF 在 Web 應用程式與網際網路之間建立一個護盾;此護盾可協助緩解多個常見攻擊。

Share facebook icon linkedin icon twitter icon email icon

WAF

學習目標

閱讀本文後,您將能夠:

  • 定義 Web Application Firewall
  • 解釋封鎖清單與白名單 WAF 之間的差異
  • 瞭解網路型、主機型及雲端型 WAF 的優缺點。

什麼是 Web Application Firewall (WAF)?

WAF 或 Web Application Firewall 透過過濾和監控網路應用程式和網際網路之間的 HTTP 流量來幫忙保護網路應用程式。它通常保護網路應用程式免受諸如跨網站偽造跨網站指令碼處理 (XSS) 、檔案包含及SQL 資料隱碼攻擊等等攻擊。WAF 是個通訊協定層7防禦(在 OSI 模型中),並非旨在防禦所有類型的攻擊。這種緩解攻擊的方法通常是一系列工具的一部分,這些工具共同建置一個整體防禦,專門防堵一系列攻擊向量。


透過在網路應用程式前面部署 WAF,可以在 Web 應用程式和網際網路之間安置一個防護工具。Proxy 伺服器透過使用中繼來保護客戶端計算機的身份時,WAF 是一種反向 Proxy,它藉由讓客戶端到達伺服器之前通過 WAF,由此保護伺服器免於曝險。


WAF 透過一組通常稱為原則的規則作業。這些策略旨在藉由過濾掉惡意流量來防止應用程式中的弱點。 WAF 的價值部分來自於原則修改得以實施的速度和簡易性,便於更快回應不同的攻擊向量;在 DDoS 攻擊中,可透過修改 WAF 原則來快速執行 Rate Limiting。

DDOS How A WAF Works

封鎖清單與白名單 WAF 之間有哪些差異?

依黑名單(負面安全性模型)作業的 WAF 可以防範已知的攻擊。想像 WAF 是個俱樂部保鏢,受命拒絕不符合著裝要求的客人入場。反之,依白名單作業的(肯定安全性模型)WAF 僅允許已預先核准的流量。這就像保鏢在獨家派對上一樣,他或她只接納名單上的人。黑名單和白名單各有其優缺點,這就是為什麼許多 WAF 提供混合式安全性模型的原因,該模型可同時達成兩種效果。

什麼是網路型、主機型和雲端型 WAF?

WAF 可使用上述三種不同方法之一來執行,每種方法各有其自身的優缺點:

  • 網路型 WAF 通常以硬體為基礎。由於它們是在本機安裝的,因此可以最大程度地減少延遲,但是網路型 WAF 是最昂貴的選項,而且還需要存放和維護實體設備。
  • 主機型 WAF 可以完全整合到應用程式軟體中。此一解決方案和網路型 WAF 相比起來沒那麼貴,而還有更多的可自訂性。不過主機型 WAF 的缺點就是會消耗本機伺服器資源、實施起來很複雜,以及維護成本高等問題。這些組合通常需要工程時間,還可能很昂貴。 .
  • 雲端型 WAF 提供了一種經濟實惠的選項,實施起來非常容易;這種 WAF 它們通常提供完整即用安裝,就像安裝 DNS 來重新導向流量一樣簡單。雲端型 WAF 還有最低前期成本,因為用戶可選擇每月或每年付費服務,為其網路安全性把關。雲端型 WAF 還可以不斷提供更新的解決方案,以抵禦最新的威脅,而無需在用戶端增加任何工作或成本。而雲端型 WAF 的缺點是用戶將責任移交給第三方,因此 WAF 的某些功能可能對他們來說是一個看不見內容的黑盒子。誠摯歡迎您多加了解 Cloudflare 的雲端型 WAF 解決方案。