重點精華：

• L3/L4 防火牆決定「誰能從哪裡、走**哪個門（IP/Port/Protocol/連線狀態）**來」
• WAF（L7）則盯著 HTTP/HTTPS 的內容，「你在路上說了什麼」

1.為什麼 L3/L4 擋不住？

• L3/L4 只看 IP、Port、Protocol、是否已建立連線。
• Web 攻擊（像 SQL Injection / XSS）藏在 URL、參數、Body、Cookie 裡。
• 所以你就算把入口收斂到 443/TCP，惡意內容還是能走進來。
  → 結論：要看內容（L7）才知道請求是在「正常查詢」還是「偷灌語法」。

2.WAF 在做什麼（用GOOGLE表單當例子）

情境：POST /login，參數有 username、password。
WAF 會同時做兩種檢查：

(A) 負向規則（黑名單/特徵）

• 偵測可疑字串模式（如 ' OR 1=1 -- 、）、異常編碼、目錄穿越（../）等，符合就阻擋。
• 優點：一上就有效；缺點：高手會繞（編碼、參數汙染）。

(B) 正向規則（白名單/格式）

• 只允許「長得像正常」的輸入：
  • username：英數底線、長度 ≤ 32
  • password：長度 8–64；不允許出現在 URL Query
  • Content-Type：必須是 application/x-www-form-urlencoded 或 application/json
• 優點：難繞；缺點：要了解自己 API/頁面的「正常長相」。

用法：先開負向規則擋 80% 髒流量，再對敏感端點加 2–3 條正向規則，誤擋率低、保護很有感。

3.一個迷你案例

你有一個上傳功能： POST /upload，只收圖片。

• L3/L4 做到的：只放 443/TCP，來源視情況限國家/ASN。

• 加 WAF 後：
  1.開通用規則 → 檔名含 、../、可執行副檔名 .exe 先擋。
  2.端點白名單 → Content-Type 只收 image/png、image/jpeg；檔案大小 ≤ 5MB。
  3.行為限制 → 同 IP 1 分鐘最多 10 次上傳，超過回 429。

• 效果：
  1.壞請求大部分被擋在第 1 層（便宜），少量樣本進到第 2、3 層才吃到資源。
  2.正常上傳不受影響，誤擋主要出在少數例外，再針對單一路徑做豁免，不開整站。

小結

• 分工：L3/L4 管「誰從哪裡進、走哪個門」，WAF 看「HTTP 內容長怎樣」。
• 方法：先開通用保護，再對敏感端點加 2–3 條白名單規則，最後把常被打的路徑加限流。
• 落地：從一個端點開始（登入或上傳），小步快跑，誤擋好處理、保護看得到。

下集預告

主題：IDS / IPS / XDR 一次講透
我們會用同一個小案例（可疑登入＋異常流量）對照三者的定位與代價！