WAF 是什麼?3 大類型 WAF 保護網頁不受攻擊
近年來,越來越多的企業提供各式 Web 應用程式服務,從收發電子郵件的網站、和聯絡友誼的社群網站到影音串流平台都是我們生活中常見的例子。但同時,Web 應用程式也因為其便利性和用途廣泛成為駭客攻擊的目標。針對其的資安技術 Web 應用程式防火牆(WAF)也日漸受到重視。本篇文章將深入介紹 WAF,功能和種類,協助您提升企業 IT 安全,保護機敏資訊不外洩、企業營運穩定不中斷。
WAF 是什麼?
WAF 是 Web Application Firewall 的縮寫,中文稱為「Web 應用程式防火牆」,設計來保護網路應用程式的防火牆。在電腦資訊領域中,防火牆為最常見的資安技術之一,為特定範圍內的網路連線和進出流量把關,免於受到 SQL 注入攻擊、跨網站指令碼(XSS)、DDoS 攻擊等惡意網路攻擊。依據運作的方式以及保護的範疇,防火牆技術有多種不同的應用,WAF 即是其中一種防火牆類型。
WAF 所保護的 Web 應用程式又是什麼呢?應用程式就是軟體,可以執行特定指令的一套系統,例如 Microsoft Word 讓使用者可以透過鍵盤上的按鍵編撰文字檔案。Web 應用程式則是無須安裝到電腦或裝置中的軟體,只要用瀏覽器打開網頁即可簡單使用複雜的存取功能。網路科技發展快速,Web 應用程式在日常生活中也更加普遍,Google 文件、Google 地圖、社群網站、影音串流平台等等都是 Web 應用程式的範例。
WAF 如何運作?運作原理說明
可以把 WAF 想像成一道實際存在的牆,圍繞 Web 應用程式,任何進出的網路連線都受到監控。檢查每個傳送到應用程式伺服器的 HTTP 請求,並將不安全的連線阻擋在外。
【WAF 運作示意圖】
一般來說,WAF 系統會包含以下元件:
-
來源伺服器 Origin Server:受保護的 Web 應用程式所在的伺服器。使用者在 Web 應用程式下的指令,會傳送到來源伺服器上,伺服器再依據指令傳送資料回使用者的端點。例如在 Netflix 網站上點擊觀看某個影片,伺服器收到影片檔案的存取請求後,會在把影片內容回傳。
-
WAF 政策 WAF Policies:管理整體 WAF 的規則,包括保護規則、機器人管理等等。
-
保護規則:WAF 運作時遵守的規則,決定紀錄、允許或封鎖存取請求的標準。
-
機器人管理:在 WAF 中使用自動化的機器人協助辨識流量、允許或拒絕請求。常見的 CAPTCHA 人機驗證就是機器人管理的一種,協助伺服器識別存取請求是否來自人類。
9 種 WAF 用來阻擋惡意攻擊的方式
-
IP 圍欄:限制或允許特定 IP 地址的存取,以防止來自可疑或已知惡意 IP 地址的攻擊。
-
地理圍欄與地理封鎖:限制或封鎖來自特定國家或地區的流量,降低來自高風險地區的攻擊。
-
請求檢查:檢查進入 Web 應用程式的請求,分析其內容、格式或行為是否符合安全規則,以辨別潛在的攻擊。
-
回應檢查:WAF 檢查從來源伺服器發出的回應,確保未洩露敏感資訊或觸發不必要的安全漏洞。
-
安全規則:根據事先設定好的保護規則,自動過濾並阻擋已知攻擊模式,例如 SQL 注入或 XSS 攻擊。
-
異常評分:分析行為模式,並根據行為異常程度判斷是否應封鎖請求,以防止潛在威脅。
-
DDoS 速率限制:限制每個用戶的請求速率,降低 DDoS 攻擊的影響,保護伺服器的穩定性。
-
機器人緩解:辨識並過濾掉惡意機器人活動,防止自動化攻擊如網路爬蟲、憑證填充等。
-
威脅情報:WAF 利用全球威脅情報數據,主動防範已知的惡意 IP、攻擊模式及網路威脅,提高整體防禦能力。
3 大 WAF 的類型:
常用的 WAF 有三大類型:軟體型 WAF(Software-Based WAF)、硬體型 WAF(Hardware-Based WAF)與雲端型 WAF(Cloud-Based WAF)。
一、軟體型 WAF(Software-Based WAF)
軟體型 WAF 透過軟體運作,可部署地端或雲端上。建置和維護的成本較低,擴展和設定配置上自由度較高。
二、硬體型 WAF(Hardware-Based WAF/Network-Based WAF)
硬體型 WAF 直接部署於實體裝置上,就近安裝在 Web 應用程式伺服器的附近,透過有線網路連接。優點是性能高、延遲低,但相對來說建置和維護成本較高,也因為部署於固定硬體上,擴展較困難,適合大型企業或組織。
三、雲端型 WAF(Cloud-Based WAF)
雲端型 WAF 利用雲端運算技術,將防火牆設置於雲端上。可以即時部署即時使用,提供位於全球的 Web 應用程式伺服器安全防護。雲端型 WAF 平時由雲端平台負責維護,減輕企業或組織的 IT 負擔,初期建置的成本最低。但因為透過雲端傳輸資料,雲端型 WAF 可能會有延遲的情況。
WAF 與傳統防火牆的差異
WAF 針對 Web 應用程式和終端使用者之間的 OSI 網路模型第七層的 HTTP 通訊協定的流量進行監控,而傳統的網路防火牆(Network Firewalls)則是透過過濾網路層和傳輸層(第三、第四層)的流量,保護網路安全。
【OSI 網路模型分層示意圖】
而進一步來說,WAF 跟傳統的網路防火牆之間的差別主要體現在保護範圍、防禦網路攻擊種類、部署位置,以及配置方式四個層面上。
-
保護範圍
網路防火牆是一種網路安全系統,根據預先設定的安全規則監控和控制進出網路的流量,旨在保護整個網路,包括伺服器、設備和其他系統。相比之下,WAF 專門用來保護 Web 應用程式,主要監控和過濾進入 Web 應用程式的流量,通常部署在網頁伺服器之前。
-
防禦網路攻擊類型
網路防火牆主要用來防禦基於網路的威脅,如惡意軟體、病毒和拒絕服務(DoS)攻擊。WAF 則專門防禦針對Web 應用程式的威脅,如跨網站指令碼(XSS)、SQL 注入、DDoS 攻擊和 Cookie 中毒。
-
部署位置
防火牆可以部署在網路的不同位置,如網路邊界、網路與互聯網之間或網路內部,而WAF 通常部署在網頁伺服器之前。
-
配置方式
防火牆通常通過規則設定來指定允許或拒絕的流量類型,根據來源和目標 IP 位置以及端口號來決定。WAF 通常允許或封鎖請求則根據多種條件,包括請求來源的 IP 位置、請求的類型以及請求的內容。
雖然傳統網路防火牆和 WAF 在資安防禦有上述四大類差異,但兩者分別為不同位置的網路安全把關,同時搭配使用更可以加強企業資訊安全喔!
企業使用 WAF 的好處
對企業來說,使用 WAF 最重要的好處就是提升企業 IT 系統整體的安全性。有效並即時 Web 應用程式、辨識惡意的流量或機器人,拒絕其請求,避免來源伺服器受網路威脅,或是因為已知的安全漏洞被利用而受到惡意攻擊。另一方面,設置 WAF 也可以協助企業提升合規性,遵守資訊安全的相關規定,符合政府或是企業內部的要求,保障資訊安全。
晟崴科技的 Web 應用程序及 API 保護(WAAP)服務包含 WAF 功能,提供針對 Web 應用程式的資安措施,全面監控流量和存取請求,阻擋來自網際網路的惡意攻擊。歡迎聯絡我們,了解更多!
立即聯絡晟崴科技規劃專屬您的WAF 服務!
