WAF (Web Application Firewall,網站應用程式防火牆)用於監控網站流量並過濾出可疑流量並拒絕惡意流量進入,同時攔截駭客攻擊和惡意程式,比對病毒與惡意程式資料庫,保護網站免受網路攻擊,確保網站應用程式安全。如果沒有 WAF,網站應用程式與網站很容易成為 DDoS 攻擊、SQL 注入和其他網路攻擊的目標。
WAF 與 Firewall 傳統防火牆最主要的差異在於防護的資料層級不同。傳統防火牆 Firewall 主要防護辨識的範圍最多只可到 OSI 模型第 4 層傳輸層,然而隨著科技發達,駭客手法不斷更新,網路攻擊如今也已能輕鬆進攻至第 7 層應用層,入侵網站應用程式的漏洞,但傳統防火牆無法辨識到第 7 層應用層的應用程式內容,也因此造就 WAF 的誕生。
WAF 可防護第 4 層傳輸層以上,主要的防護目標為第 7 層應用層的網站應用程式內容,相對於只能針對來源 IP/Port number (端口)阻攔惡意請求的傳統防火牆,WAF 還可辨識網站傳輸的 HTTP 請求,且可透過調整 WAF 防火牆安全規則加強防護機制。WAF 比 Firewall 傳統防火牆更能因應多變的網路攻擊,符合現今網站的資訊安全需求。
各廠牌 WAF 服務各有所別,進階一點的 WAF 可支持多樣化安全規則條件設置,相較於較舊款的 WAF,新型的 WAF 服務提供簡易操作的介面,可快速設定 WAF 安全規則,並透過邏輯檢測引擎與機器學習提高檢測精準度,識別未知病毒或新網路攻擊模式,透過可視覺化的數據圖也能更好掌握防護策略。WAF 比傳統防火牆 Firewall 需要更高的管理與維運門檻,因此選擇方便管理的 WAF 系統與靈活設定防護規則對於往後操作會容易一些。
WAF 是較客製化的資安工具,我自己只有一個網站而已因此是直接購買 for one domain 的 WAF,如果是有多個網站需要 WAF 或是其他客製化需求,例如特殊的安全規則設定等,最好是可以向 WAF 廠商諮詢後再申請會比較好。
參考文章: WAF 與傳統防火牆 Firewall 的差異, WAF 推薦遠離 DDoS 等網路攻擊威脅