WAF是什麼?Web Application Firewall特點、優勢一次告訴你!

Back
2022-04-25

WAF(Web Application Firewall)相較於傳統防火牆的優勢有哪些?論網站資安,WAF不可或缺的理由是什麼?WAF規則設定讓網站管理者更方便了嗎?身為企業網站的資安人員,不可不知的WAF新知!

WAF(Web Application Firewall)與傳統Firewall的差異

WAF是Web Application Firewall的縮寫,為針對網站服務內容的防護,WAF與傳統Firewall的最主要差異在於辨識特徵的資料層級不同。

傳統Firewall主要辨識的範圍為封包傳輸位置(IP address)與應用程式的傳輸埠號(port number),而這兩個資訊分屬OSI模型的第三層(Network layer)與第四層(Transport layer),因此一般也稱傳統Firewall為 L4 Firewall,意指它的工作層級最多到第四層,所以無法辨識包在傳輸資訊裡的第七層應用程式內容。

WAF主要的防護目標為OSI 7 layer第七層的Web應用服務,意味著WAF能辨識包在傳輸資訊內的Web應用程式內容。

WAF(Web Application Firewall)能辨識HTTP的內容
WAF(Web Application Firewall)能辨識HTTP的內容

WAF(Web Application Firewall)與傳統Firewall各自如何應對L7攻擊,

以下以惡意爬蟲為例,說明WAF(Web Application Firewall)優於傳統Firewall之處。

傳統Firewall(L4 Firewall)阻擋惡意爬蟲的限制

傳統Firewall只能針對來源IP或端口(port number)阻攔惡意請求,意思是只能辨識「來自那裡」、「要去那裡」、「要找誰」,無法辨識包在傳輸資訊內與網路爬蟲相關的HTTP表頭。因此,只能依靠網站管理者分析爬蟲的內容來自那裡,再以來源位置區分該阻攔、允許或限制頻寬。倘若攻擊來源來自多個位置,因來源不停更換,管理者也必須不斷更新阻攔名單才能正確阻擋。否則如果直接阻攔一整個區域,極有可能會攔阻到來自相同區域的正常使用者。

WAF能過濾、監控、阻擋Http流量,阻攔特定爬蟲行為

WAF(Web Application Firewall)能辨識包在傳輸資訊內的HTTP表頭,讓網站管理者除了能依照來源IP位置作阻攔外,WAF能針對HTTP的User-Agent表頭內的網路爬蟲資訊,如:Baiduspider、Googlebot、Bingbot等阻攔特定爬蟲行為。

WAF(Web Application Firewall)能辨識User-Agent,阻攔惡意爬蟲。

除此之外,因WAF主要處理HTTP服務內容,為了阻擋惡意請求,除了常見的阻攔與允許功能外,有些WAF服務能在存取過程加上其他應用層的驗證機制等。進階一點的WAF服務還包括重新導向(Redirect)、回應客製頁面等HTTP回應,除了防禦,WAF功能依據不同網站的需求用途更加廣泛。相較大部分的傳統Firewall只能阻攔或允許,WAF更能因應多變的網路攻擊,符合現今網站的資安需求。

客製化CDN服務:ApeiroCDN的WAF(Web Application Firewall)功能多樣,專門應付複雜L7攻擊
ApeiroCDN的WAF(Web Application Firewall)功能多樣,專門應付複雜L7攻擊。

ApeiroCDN WAF(Web Application Firewall)專門應付複雜L7攻擊

支援正規表示法(Regular expression),使用靈活

ApeiroCDN的WAF服務支持多樣化WAF規則條件設置,能根據指定條件提供多種動作選擇,使防禦策略更彈性,在不影響正常用戶的前提下,更精準的分辨與阻攔惡意流量。方便的是,WAF條件設定針對表頭與參數設定,皆支援正規表示法(Regular expression),讓管理者能更靈活的阻攔惡意請求內容。

 ApeiroCDN管理平台上WAF(Web Application Firewall)的WAF規則條件設置,能使用正規表示法,攔阻多個爬蟲。
 ApeiroCDN管理平台上WAF(Web Application Firewall)的WAF規則條件設置,能使用正規表示法,攔阻多個爬蟲。
ApeiroCDN管理平台上WAF(Web Application Firewall)的WAF規則條件設置,能使用正規表示法,攔阻版本太舊的瀏覽器。
ApeiroCDN管理平台上WAF(Web Application Firewall)的WAF規則條件設置,能使用正規表示法,攔阻版本太舊的瀏覽器。

ApeiroCDN WAF(Web Application Firewall)支援多樣化動作,精準阻攔

ApeiroCDN管理平台WAF規則設置提供多達13種不同的處理動作,除了常見的Deny、Allow、Robot驗證、網頁重新導向之外,還提供了限速、Block period(罰停時間)、客製回應頁面、客製表頭等多達13種不同的處理動作,可依據當下的狀況選擇需要的動作。例如,在遭受攻擊的當下,在未找出特徵前不能任意的攔阻但又需要減少服務器的負載,可利用請求頻率搭配Block period或限速,以緩解代替攔阻。

延伸閱讀:ApeiroCDN的管理平台有哪些特色?

範例:特定的爬蟲 如果請求頻率超過每秒200個的話,即暫時阻攔300秒,如300秒內未再發生相同行為,即自動恢復通過。

ApeiroCDN管理平台上WAF(Web Application Firewall)的WAF規則條件設置,能在找出攻擊的具體特徵之前,先針對「請求速率」採取動作以限制其行為。
ApeiroCDN管理平台上WAF(Web Application Firewall)的WAF規則條件設置,能在找出攻擊的具體特徵之前,先針對「請求速率」採取動作以限制其行為。
ApeiroCDN管理平台上WAF(Web Application Firewall)的WAF規則條件設置,能先針對指定條件設定「阻擋時間」以限制可疑的請求行為。
ApeiroCDN管理平台上WAF(Web Application Firewall)的WAF規則條件設置,能先針對指定條件設定「阻擋時間」以限制可疑的請求行為。

延伸閱讀:ApeiroCDN如何為您的網站抵擋DDoS攻擊?

ApeiroCDN WAF(Web Application Firewall)讓管理者更方便

因Web形式的服務較無平台限制,只要使用者的設備能供開網頁即能提供服務,所以WAF已成為提供網路服務的企業必要的防護系統,但一般硬體的WAF系統比傳統Firewall需要更高的管理與維運門檻,因此,ApeiroCDN提供簡易且全面的WAF防護系統,讓管理者可以免去維護系統的成本,同時又能靈活設定符合自己的防護政策。

延伸閱讀:這篇就夠!DDoS是什麼意思?有哪些類型?OSI對照!完全解析

Share this post

Blog