WAF（Web Application Firewall）相較於傳統防火牆的優勢有哪些？論網站資安，WAF是什麼？為何如此不可或缺？WAF規則設定讓網站管理者更方便了嗎？身為企業網站的資安人員，不可不知的WAF新知！

WAF（Web Application Firewall）與傳統Firewall的差異

WAF是什麼的縮寫？Web Application Firewall，為針對網站服務內容的防護，WAF與傳統Firewall的最主要差異在於辨識特徵的資料層級不同。

傳統Firewall主要辨識的範圍為封包傳輸位置（IP address）與應用程式的傳輸埠號（port number），而這兩個資訊分屬OSI模型的第三層（Ｎetwork layer）與第四層（Transport layer），因此一般也稱傳統Firewall為 L4 Firewall，意指它的工作層級最多到第四層，所以無法辨識包在傳輸資訊裡的第七層應用程式內容。

WAF主要的防護目標為OSI 7 layer第七層的Web應用服務，意味著WAF能辨識包在傳輸資訊內的Web應用程式內容。

◼️網站必看關鍵指標、攻擊分析懶人包：掌握10項專業級監控報表 ╳ 學習流量分析方法！

ApeiroCDN WAF（Web Application Firewall）能辨識HTTP的內容 — WAF（Web Application Firewall）能辨識HTTP的內容

WAF（Web Application Firewall）與傳統Firewall各自如何應對L7攻擊？

以下以惡意爬蟲為例，說明WAF（Web Application Firewall）優於傳統Firewall之處。

傳統Firewall（L4 Firewall）阻擋惡意爬蟲的限制

傳統Firewall只能針對來源IP或端口（port number）阻攔惡意請求，意思是只能辨識「來自那裡」、「要去那裡」、「要找誰」，無法辨識包在傳輸資訊內與網路爬蟲相關的HTTP表頭。因此，只能依靠網站管理者分析爬蟲的內容來自那裡，再以來源位置區分該阻攔、允許或限制頻寬。倘若攻擊來源來自多個位置，因來源不停更換，管理者也必須不斷更新阻攔名單才能正確阻擋。否則如果直接阻攔一整個區域，極有可能會攔阻到來自相同區域的正常使用者。

WAF能過濾、監控、阻擋Http流量，阻攔特定爬蟲行為

WAF（Web Application Firewall）能辨識包在傳輸資訊內的HTTP表頭，讓網站管理者除了能依照來源IP位置作阻攔外，WAF能針對HTTP的User-Agent表頭內的網路爬蟲資訊，如：Baiduspider、Googlebot、Bingbot等阻攔特定爬蟲行為。

ApeiroCDN WAF（Web Application Firewall）能辨識User-Agent，阻攔惡意爬蟲。 — WAF（Web Application Firewall）能辨識User-Agent，阻攔惡意爬蟲。

除此之外，因WAF主要處理HTTP服務內容，為了阻擋惡意請求，除了常見的阻攔與允許功能外，有些WAF服務能在存取過程加上其他應用層的驗證機制等。進階一點的WAF服務還包括重新導向（Redirect）、回應客製頁面等HTTP回應，除了防禦，WAF功能依據不同網站的需求用途更加廣泛。相較大部分的傳統Firewall只能阻攔或允許，WAF更能因應多變的網路攻擊，符合現今網站的資安需求。

ApeiroCDN客製化CDN服務：ApeiroCDN的WAF（Web Application Firewall）功能多樣，專門應付複雜L7攻擊 — ApeiroCDN的WAF（Web Application Firewall）功能多樣，專門應付複雜L7攻擊。

◼️ SOC託管：24/7技術支援，真人回覆；萬筆域名管理，盡在掌握

ApeiroCDN WAF（Web Application Firewall）專門應付複雜L7攻擊

支援正規表示法（Regular expression），使用靈活

ApeiroCDN的WAF服務支持多樣化WAF規則條件設置，能根據指定條件提供多種動作選擇，使防禦策略更彈性，在不影響正常用戶的前提下，更精準的分辨與阻攔惡意流量。方便的是，WAF條件設定針對表頭與參數設定，皆支援正規表示法（Regular expression），讓管理者能更靈活的阻攔惡意請求內容。

ApeiroCDN管理平台上WAF（Web Application Firewall）的WAF規則條件設置，能使用正規表示法，攔阻多個爬蟲。 — ApeiroCDN管理平台上WAF（Web Application Firewall）的WAF，能使用正規表示法，攔阻多個爬蟲。

ApeiroCDN管理平台上WAF（Web Application Firewall）的WAF規則條件設置，能使用正規表示法，攔阻版本太舊的瀏覽器。 — ApeiroCDN管理平台上WAF（Web Application Firewall）的WAF，能使用正規表示法，攔阻版本太舊的瀏覽器。

ApeiroCDN WAF（Web Application Firewall）支援多樣化動作，精準阻攔

ApeiroCDN管理平台WAF規則設置提供多達13種不同的處理動作，除了常見的Deny、Allow、Robot驗證、網頁重新導向之外，還提供了限速、Block period（罰停時間）、客製回應頁面、客製表頭等多達13種不同的處理動作，可依據當下的狀況選擇需要的動作。例如，在遭受攻擊的當下，在未找出特徵前不能任意的攔阻但又需要減少服務器的負載，可利用請求頻率搭配Block period或限速，以緩解代替攔阻。

◼️延伸閱讀：ApeiroCDN的管理平台有哪些特色？

範例：特定的爬蟲如果請求頻率超過每秒200個的話，即暫時阻攔300秒，如300秒內未再發生相同行為，即自動恢復通過。

ApeiroCDN管理平台上WAF（Web Application Firewall）的WAF規則條件設置，能在找出攻擊的具體特徵之前，先針對「請求速率」採取動作以限制其行為。 — ApeiroCDN管理平台上WAF（Web Application Firewall）的WAF，能在找出攻擊的具體特徵之前，先針對「請求速率」採取動作以限制其行為。

ApeiroCDN管理平台上WAF（Web Application Firewall）的WAF規則條件設置，能先針對指定條件設定「阻擋時間」以限制可疑的請求行為。 — ApeiroCDN管理平台上WAF（Web Application Firewall）的WAF，能先針對指定條件設定「阻擋時間」以限制可疑的請求行為。

◼️延伸閱讀：ApeiroCDN如何為您的網站抵擋DDoS攻擊？

ApeiroCDN WAF（Web Application Firewall）讓管理者更方便

因Web形式的服務較無平台限制，只要使用者的設備能供開網頁即能提供服務，所以WAF已成為提供網路服務的企業必要的防護系統，但一般硬體的WAF系統比傳統Firewall需要更高的管理與維運門檻，因此，ApeiroCDN提供簡易且全面的WAF防護系統，讓管理者可以免去維護系統的成本，同時又能靈活設定符合自己的防護政策。

◼️延伸閱讀1：WAF防火牆全攻略！攻擊型態破解、防禦邏輯與佈署策略解析

◼️延伸閱讀2：這篇就夠！DDoS是什麼意思？有哪些類型？OSI對照！完全解析

◼️延伸閱讀3：DDoS攻擊是什麼？6種DDoS解決方法，使用CDN省下資安成本

◼️延伸閱讀4：CDN架構：從三大需求解析，認識不同CDN架構原理與優勢

◼️延伸閱讀5：殭屍網路是什麼？原理與種類詳細介紹，關鍵4招預防攻擊

◼️延伸閱讀6：CDN服務：緩解DDoS攻擊背後功臣—24/7監控中心到底忙什麼？

◼️延伸閱讀7：DDoS教學(上)：識破L7 DDoS攻擊，看懂監控數據的門道

◼️延伸閱讀8：購物狂歡、球賽熱血，網站狂潮來襲！5招化解高峰擠塞！

⬛延伸閱讀9：DDoS攻擊趨勢報告2022-2023：電商網站防護的5大關鍵策略！

⬛ 延伸閱讀11：DDoS軍團vs.全球球迷！世足賽、歐錦賽和歐冠盃的DDoS攻防戰

⬛ 延伸閱讀12：CDN防禦指標:世足賽(上) 東南亞/中東/中國的DDoS緩解關鍵報告

⬛ 延伸閱讀13：CDN防禦指標:世足賽(下)東南亞/中東/中國的DDoS緩解關鍵報告