常常聽到有人說網站有裝防火牆就夠了啊,為什麼還需要 WAF? 甚至不知道 WAF 是什麼? WAF 與 Firewall 最主要的差異在於 WAF 能夠防禦到 Layer7 的駭客攻擊,傳統防火牆 Firewall 最多大概到 Layer4,現今網路技術發展之快,駭客隨隨便便就能攻擊到 Layer7,只安裝 Firewall 已經太過時,以防護功能來說 WAF 也是無法被 Firewall 取代的。
WAF 英文為 Web Application Firewall 也就是網站應用程式防火牆,顧名思義就是能防護到應用層 Layer7,WAF 防禦原理是透過比對網路病毒與惡意程式,並監控與過濾想要進入網站的流量,將不安全流量排除在外,只讓安全流量進入網站,WAF 也是防護 DDoS 攻擊的主要的資安工具之一! 現在較為新型的 WAF 功能可以透過邏輯檢測等技術來比對原有或未知的網路攻擊,使用者還可以直接透過管理平台勾選防護項目,甚至是自訂安全規則,跟以往還寫要自己寫程式的舊款 WAF 比,操作跟功能都升級很多。
在無法保證網站程式開發都有做好資安防護的狀況下,可能不是有裝傳統防火牆就夠了,駭客攻擊可能隨時會從網站的資安漏洞入侵去竊取或串改網站資料,現今時不時就會有網路攻擊的案件報導,更有許多大型企業上榜,若公司遭受一次資安危機都可能使名譽掃地,若你的網站需要資安謹慎一點的 WAF 網站應用程式防火牆建議可以裝起來。