還在研究所進修的時候，教授將同學分組做虛擬專案，藉此讓大家熟悉專案從開始企劃、設計架構、向主管提案甚至驗收的流程，我們的專案是架設購物網站，大家圍著網路簡圖討論，我把它簡化成以下的圖A。主導設計架構和實施的幾位同學，解釋具體各個系統使用什麼網路設備、系統架構，這樣負責寫預算的同學可以列出整體專案大概預算，例如Web Server是使用什麼系統？Windows IIS 還是Linux？是否有軟體授權？所需硬體為何？多少CPU、RAM和DISK？資料庫用什麼？Internet Link網路連線需要多快？每月或每年維持網速的金額為多少？當時針對防火牆的選擇，同學回答「不用軟體授權，只需編列硬體預算」，當時我一聽就起疑，畢竟次世代防火牆NGFW雖然買的是一個硬體網路設備，個別軟體授權如IPS還是要另外付錢，所以問道：

「可否解釋一下防火牆具體內容？為什麼不用軟體授權？」

*圖A。當時虛擬專案的簡化圖。

「防火牆採用Linux系統，用iptable，阻擋外部封包。」

聽到這裡，大學畢業直接讀研究所，沒有工作經驗的同學們紛紛點頭；像我一樣在職進修的同學默默對望，有一位同學更是直接拼命搖頭，發出長長的一聲No………..

課本上寫得很簡單：用防火牆A和防火牆B做DMZ，而一般Linux內建的、傳統的防火牆，網路層(封包過濾型)防火牆也叫防火牆啊，有什麼問題嗎？

同學，問題可大了。

現今面對的資安威脅手法層出不窮，做為企業最前線的端點設備，次世代防火牆NGFW早就代替傳統防火牆成為主流(關於次世代防火牆的介紹可見文末ITHome文章連結)，尤其來自Layer 7 應用層的各種手法，一樣是從正常流量的通訊埠Port 80、port 443等，傳統防火牆根本無法判別，而且網站伺服器很怕來自Cross-Site Scripting 和Injection 等等威脅，OWASP每年公布的前十名應用程式風險中，Cross-Site Scripting (XSS)和 Injection每年都榜上有名，就算端點的防火牆A是採用次世代防火牆，若沒有具備等同Web Application Firewall (WAF) 網頁應用系統防火牆的能力，仍然要考慮在網站伺服器前部屬WAF)網頁應用系統防火牆。

通常做為獨立的網路設備，WAF部屬在端點防火牆後，網站伺服器前，這樣流量先經由端點防火牆，前往網站伺服器的流量將轉至WAF分析過濾後，再轉至網站伺服器。

*圖B。內部WAF示意圖。

另一種是作為雲端方案，所有前往網站的流量先通過雲端的WAF，過濾後再導向端點防火牆，轉至網站伺服器。

*圖C。雲端WAF示意圖

無論那一種方案，都要評估WAF的功能，看它能阻擋什麼類型的攻擊，尤其SSL加密成為趨勢後，也要評估檢視https流量是否對WAF設備造成負擔。有些廠商會將DDoS防護加在方案中，這點就要看各公司企業環境評估了，公司面對DDoS分散式阻斷服務攻擊的風險為何？可能遭遇的攻擊流量多大？準備投資多少預算在防護DDoS？一般的DoS攻擊，WAF是能處理、過濾，若是大規模、高流量的DDoS攻擊，單靠端點防火牆後的WAF也是有限的，而且就算WAF能撐到一定程度，端點防火牆負荷搞不好已經先出問題。關於DDoS和WAF兩個防護方案，可以併在一起考量，也可以憑需求分別選購不同廠商，畢竟每間公司企業需求和環境都不一樣，例如銀行可能需要高流量的DDoS和強大的WAF防護，但是小公司面對DDoS高流量攻擊的風險可能比較小，比較想要著重WAF防護能力？這真的要靠各人評估風險，資安專家的「專業」也正是在這裡發揮。

「太棒了！一但理解之後，就非常有趣！」- -櫻坂工兵《奮鬥吧！系統工程師》

來自IThome的報導：防火牆的進化：認識次世代防火牆
https://www.ithome.com.tw/news/95994