WAF 是什么? 3 大类型 WAF 保护网页不受攻击
近年来,越来越多的企业提供各式 Web 应用程序服务,从收发电子邮件的网站、和联络友谊的社交网站到影音串流平台都是我们生活中常见的例子。但同时,Web 应用程序也因为其便利性和用途广泛成为黑客攻击的目标。针对其的资安技术 Web 应用程序防火墙(WAF)也日渐受到重视。本文将深入介绍 WAF、功能和种类,协助您提升企业 IT 安全,保护机密信息不外泄、企业运营稳定不中断。
WAF 是什么?
WAF 是 Web Application Firewall 的缩写,中文称为「Web 应用程序防火墙」,设计来保护网络应用程序的防火墙。在电脑信息领域中,防火墙为最常见的资安技术之一,为特定范围内的网络连接和进出流量把关,免于受到 SQL 注入攻击、跨网站指令码(XSS)、DDoS 攻击等恶意网络攻击。依据运作的方式以及保护的范畴,防火墙技术有多种不同的应用,WAF 即是其中一种防火墙类型。
WAF 所保护的 Web 应用程序又是什么呢?应用程序就是软件,可以执行特定指令的一套系统,例如 Microsoft Word 让用户可以通过键盘上的按键编撰文字文件。Web 应用程序则是无需安装到电脑或设备中的软件,只要用浏览器打开网页即可简单使用复杂的存取功能。网络科技发展快速,Web 应用程序在日常生活中也更加普遍,Google 文件、Google 地图、社交网站、影音串流平台等等都是 Web 应用程序的范例。
WAF 如何运作?运作原理说明
可以把 WAF 想象成一道实际存在的墙,围绕 Web 应用程序,任何进出的网络连接都受到监控。检查每个传送到应用程序服务器的 HTTP 请求,并将不安全的连接阻挡在外。
【WAF 运作示意图】
一般来说,WAF 系统会包含以下组件:
- 来源服务器 Origin Server:受保护的 Web 应用程序所在的服务器。用户在 Web 应用程序下的指令,会传送到来源服务器上,服务器再依据指令传送数据回用户的端点。例如在 Netflix 网站上点击观看某个影片,服务器收到影片文件的存取请求后,会在把影片内容回传。
- WAF 策略 WAF Policies:管理整体 WAF 的规则,包括保护规则、机器人管理等等。
- 保护规则:WAF 运作时遵守的规则,决定记录、允许或封锁存取请求的标准。
- 机器人管理:在 WAF 中使用自动化的机器人协助辨识流量、允许或拒绝请求。常见的 CAPTCHA 人机验证就是机器人管理的一种,协助服务器识别存取请求是否来自人类。
9 种 WAF 用来阻挡恶意攻击的方式
- IP 围栏:限制或允许特定 IP 地址的存取,以防止来自可疑或已知恶意 IP 地址的攻击。
- 地理围栏与地理封锁:限制或封锁来自特定国家或地区的流量,降低来自高风险地区的攻击。
- 请求检查:检查进入 Web 应用程序的请求,分析其内容、格式或行为是否符合安全规则,以辨别潜在的攻击。
- 回应检查:WAF 检查从来源服务器发出的回应,确保未泄露敏感信息或触发不必要的安全漏洞。
- 安全规则:根据事先设定好的保护规则,自动过滤并阻挡已知攻击模式,例如 SQL 注入或 XSS 攻击。
- 异常评分:分析行为模式,并根据行为异常程度判断是否应封锁请求,以防止潜在威胁。
- DDoS 速率限制:限制每个用户的请求速率,降低 DDoS 攻击的影响,保护服务器的稳定性。
- 机器人缓解:辨识并过滤掉恶意机器人活动,防止自动化攻击如网络爬虫、凭证填充等。
- 威胁情报:WAF 利用全球威胁情报数据,主动防范已知的恶意 IP、攻击模式及网络威胁,提高整体防御能力。
3 大 WAF 的類型:
常用的 WAF 有三大类型:软件型 WAF(Software-Based WAF)、硬件型 WAF(Hardware-Based WAF)与云端型 WAF(Cloud-Based WAF)。
一、软件型 WAF(Software-Based WAF)
软件型 WAF 通过软件运作,可部署地端或云端上。建置和维护的成本较低,扩展和设置配置上自由度较高。
二、硬件型 WAF(Hardware-Based WAF/Network-Based WAF)
硬件型 WAF 直接部署于实体设备上,就近安装在 Web 应用程序服务器的附近,通过有线网络连接。优点是性能高、延迟低,但相对来说建置和维护成本较高,也因为部署于固定硬件上,扩展较困难,适合大型企业或组织。
三、云端型 WAF(Cloud-Based WAF)
云端型 WAF 利用云端运算技术,将防火墙设置于云端上。可以即时部署即时使用,提供位于全球的 Web 应用程序服务器安全防护。云端型 WAF 平时由云端平台负责维护,减轻企业或组织的 IT 负担,初期建置的成本最低。但因为通过云端传输数据,云端型 WAF 可能会有延迟的情况。
WAF 与传统防火墙的差异
WAF 针对 Web 应用程序和终端用户之间的 OSI 网络模型第七层的 HTTP 通讯协议的流量进行监控,而传统的网络防火墙(Network Firewalls)则是通过过滤网络层和传输层(第三、第四层)的流量,保护网络安全。
【OSI 网络模型分层示意图】
而进一步来说,WAF 跟传统的网络防火墙之间的差别主要体现在保护范围、防御网络攻击种类、部署位置,以及配置方式四个层面上。
- 保护范围
网络防火墙是一种网络安全系统,根据预先设定的安全规则监控和控制进出网络的流量,旨在保护整个网络,包括服务器、设备和其他系统。相比之下,WAF 专门用来保护 Web 应用程序,主要监控和过滤进入 Web 应用程序的流量,通常部署在网页服务器之前。
- 防御网络攻击类型
网络防火墙主要用来防御基于网络的威胁,如恶意软件、病毒和拒绝服务(DoS)攻击。WAF 则专门防御针对 Web 应用程序的威胁,如跨网站指令码(XSS)、SQL 注入、DDoS 攻击和 Cookie 中毒。
- 部署位置
防火墙可以部署在网络的不同位置,如网络边界、网络与互联网之间或网络内部,而 WAF 通常部署在网页服务器之前。
- 配置方式
防火墙通常通过规则设置来指定允许或拒绝的流量类型,根据来源和目标 IP 位置以及端口号来决定。WAF 通常允许或封锁请求则根据多种条件,包括请求来源的 IP 位置、请求的类型以及请求的内容。
虽然传统网络防火墙和 WAF 在资安防御有上述四大类差异,但两者分别为不同位置的网络安全把关,同时搭配使用更可以加强企业信息安全喔!
企业使用 WAF 的好处
对企业来说,使用 WAF 最重要的好处就是提升企业 IT 系统整体的安全性。有效并即时 Web 应用程序、辨识恶意的流量或机器人,拒绝其请求,避免来源服务器受网络威胁,或是因为已知的安全漏洞被利用而受到恶意攻击。另一方面,设置 WAF 也可以协助企业提升合规性,遵守信息安全的相关规定,符合政府或是企业内部的要求,保障信息安全。
晟崴科技的 Web 应用程序及 API 保护(WAAP)服务包含 WAF 功能,提供针对 Web 应用程序的资安措施,全面监控流量和存取请求,阻挡来自互联网的恶意攻击。欢迎联系我们,了解更多!
立即联系晟崴科技规划专属您的 WAF 服务
