WAF 是什麼?

WAF (Web Application Firewall，網站應用程式防火牆)用於監控網站流量並過濾出可疑流量並拒絕惡意流量進入，同時攔截駭客攻擊和惡意程式，比對病毒與惡意程式資料庫，保護網站免受網路攻擊，確保網站應用程式安全。如果沒有 WAF，網站應用程式與網站很容易成為 DDoS 攻擊、SQL 注入和其他網路攻擊的目標。

網站有 Firewall，還需要 WAF 嗎?

WAF 與 Firewall 傳統防火牆最主要的差異在於防護的資料層級不同。傳統防火牆 Firewall 主要防護辨識的範圍最多只可到 OSI 模型第 4 層傳輸層，然而隨著科技發達，駭客手法不斷更新，網路攻擊如今也已能輕鬆進攻至第 7 層應用層，入侵網站應用程式的漏洞，但傳統防火牆無法辨識到第 7 層應用層的應用程式內容，也因此造就 WAF 的誕生。

WAF 可防護第 4 層傳輸層以上，主要的防護目標為第 7 層應用層的網站應用程式內容，相對於只能針對來源 IP/Port number (端口)阻攔惡意請求的傳統防火牆，WAF 還可辨識網站傳輸的 HTTP 請求，且可透過調整 WAF 防火牆安全規則加強防護機制。WAF 比 Firewall 傳統防火牆更能因應多變的網路攻擊，符合現今網站的資訊安全需求。

WAF 推薦

各廠牌 WAF 服務各有所別，進階一點的 WAF 可支持多樣化安全規則條件設置，相較於較舊款的 WAF，新型的 WAF 服務提供簡易操作的介面，可快速設定 WAF 安全規則，並透過邏輯檢測引擎與機器學習提高檢測精準度，識別未知病毒或新網路攻擊模式，透過可視覺化的數據圖也能更好掌握防護策略。WAF 比傳統防火牆 Firewall 需要更高的管理與維運門檻，因此選擇方便管理的 WAF 系統與靈活設定防護規則對於往後操作會容易一些。

WAF 申請

WAF 是較客製化的資安工具，我自己只有一個網站而已因此是直接購買 for one domain 的 WAF，如果是有多個網站需要 WAF 或是其他客製化需求，例如特殊的安全規則設定等，最好是可以向 WAF 廠商諮詢後再申請會比較好。

參考文章: WAF 與傳統防火牆 Firewall 的差異， WAF 推薦遠離 DDoS 等網路攻擊威脅