Web Application Firewall (WAF)

WAF 在 Web 應用程式與網際網路之間建立一個護盾;此護盾可協助緩解多個常見攻擊。

Share facebook icon linkedin icon twitter icon email icon

WAF

學習目標

閱讀本文後,您將能夠:

  • 定義 Web Application Firewall
  • 解釋封鎖清單與白名單 WAF 之間的差異
  • 瞭解網路型、主機型及雲端型 WAF 的優缺點。

什麼是 Web Application Firewall (WAF)?

WAF 或 Web Application Firewall 可透過篩選和監視 Web 應用程式與網際網路之間的 HTTP 流量,保護 Web 應用程式。 它通常可保護 Web 應用程式免受跨網站偽造跨網站指令碼 (XSS)、檔案包含及 SQL 資料隱碼攻擊等攻擊。WAF 是一種第 7 層通訊協定防禦 (OSI 模型中),它不用於抵禦所有類型的攻擊。此攻擊防禦方式通常是部分工具套件,可聯合建立對一系列攻擊向量的整體性防禦。


在 Web 應用程式前端部署 WAF,即可在 Web 應用程式與網際網路之間設定一個護盾。盡管 Proxy 伺服器能透過使用中繼服務來保護用戶端機器的身分識別,但 WAF 是一種反向 Proxy,可使客戶在到達伺服器前通過 WAF,從而避免伺服器暴露。


WAF 透過一組稱為原則的規則運作。這些原則旨在透過篩選出惡意流量來抵禦應用程式中的漏洞。 WAF 的價值部分來自於原則修改得以實施的速度和簡易性,便於更快回應不同的攻擊向量;在 DDoS 攻擊中,可透過修改 WAF 原則來快速執行 Rate Limiting。

DDOS WAF 的工作原理

封鎖清單與白名單 WAF 之間有哪些差異?

基於封鎖清單 (負面安全性模型) 運作的 WAF,能抵禦已知攻擊。將一個封鎖清單 WAF 設想成一名接收命令的俱樂部保鏢,他可以拒絕讓不符合著裝規範的客人進入。相反,基於白名單 (正面安全性模型) 的 WAF 僅承認經過預先核准的流量。這就好比一個專屬派對的保鏢,他或她僅承認列於此名單中的人員。封鎖清單與白名單均具有各自的優缺點,這就是許多 WAF 提供可同時執行兩項操作的混合安全性模型的原因。

什麼是網路型、主機型和雲端型 WAF?

WAF 可使用上述三種不同方法之一來執行,每種方法各有其自身的優缺點:

  • 網路型 WAF 通常基於硬體。它們安裝於使延遲保持最低的本地,但網路型 WAF 是費用最貴的選項,而且需要實體設備的儲存和維護。
  • 主機型 WAF 可以完全整合至應用程式軟體。此解決方案比網路型 WAF 更為便宜,並能提供更多自訂項目。主機型 WAF 的缺點在於本地伺服器資源的消耗、實施複雜性及維護成本。這些元件通常需要維修時間,並且費用可能會比較昂貴。
  • 雲端型 WAF 具有價格實惠的選項,該選項易於實施;它們通常提供周全的安裝,該安裝與變更 DNS 以重新導向流量一樣簡單。雲端型 WAF 的預付費用也是最低的,使用者可以按月或按年支付此服務以獲取安全性。雲端型 WAF 也能提供一款持續更新的解決方案,無需對使用者端執行額外操作或加收費用,也能抵禦最新威脅。雲端型 WAF 的缺點在於,使用者會將責任移交至第三方,這樣一來,WAF 的某些功能可能成為他們的黑箱。瞭解 Cloudflare 的雲端型 WAF 解決方案。