什麼是WAF(網站應用程式防火牆)? 五大優勢、推薦廠商!

WAF為何是網站保衛戰士?

What_is_WAF_Banner

WAF為什麼對網站如此重要?

它可以吃嗎? 不!它是WAF不是Waffle的簡稱,WAF(Web Application Firewall) 名為網站應用程式防火牆,顧名思義就是「網站的保衛戰士」!

網際網路起源於20世紀末,人們開始透過網際網路收取新知、交流,一直到現在可以暢通地滿足人們食衣住行育樂的需求,甚至未來一步步邁進虛擬世界(元宇宙)的概念,打造新人類第二個美麗國度,那麼有國度就會有衝突,也有可能產生敵人攻擊的行為,而人們想要享受網路帶來的便利,就需要提供個資來驗證自己的身份,以達到使用權利,這時候資安的問題逐漸被大家重視。

等等等,這時候你會好奇,網路上的資料與WAF有什麼關係?
我來簡單介紹WAF的運作原理,WAF主要是用於保護網站應用程式,透過監控網站傳輸的HTTP/S流量,過濾出可疑流量並封鎖常見的惡意流量(如:SQL Injection注入式攻擊),保護網站免受駭客攻擊進而竊取資料,獲取應用程式的控制權限。

說到這裡,可能還是有人霧煞煞無法理解,身為雲端教學使著AKA終身文組腦小編,你們的悲傷我懂,剛好我是比喻專家,就讓我透過生活中的例子來替大家解惑。

A是你花30年不吃不喝買的電梯大樓
B是管委會花大錢請來的大樓管理員

WAF示意圖

這位B大能力出眾,不只會收貨、收信件,收淘寶買來的衣服,他還能記住每個出入A的住戶,來辨識是否有可疑人士進出,勤勞的B大會比對每位訪客的身份資料,如果無法確認還會撥電話告知是否讓訪客進入,如發現小偷、炸彈客、討債集團等小壞蛋,將會把他們趕出,以確保大樓的安全!
就算是發現COVID-19的發燒帶原者,也會即時控管,保護A家園的住戶健康。

什麼是OWASP?

WAF能夠透過監控比對資料庫來分辨是否為可疑或惡意流量,那資料庫裡包含哪些常見的網路攻擊及漏洞呢?

來跟各位隆重介紹一家全球性的組織 OWASP(Open Web Application Security Project),中文名叫「開放網路軟體安全計畫」,它是一個開放社群、非營利性組織,全球目前有82個分會,其主要目標是研議解決網路軟體安全之標準、工具與技術文件,長期致力於協助政府或企業瞭解並改善應用程式的安全性。

美國聯邦貿易委員會(FTC)更強烈建議所有企業務必遵循OWASP所發佈的十大網路弱點防護守則,美國國防部亦將此守則列為最佳實務,就連國際信用卡資料安全技術PCI標準更將其列為必要元件,OWASP TOP10可以作為教育開發者(Developers)、設計者(Designers)、架構師(Architects)和組織(Organizations),軟體開發安全計劃最好的開始。


2021年OWASP TOP10 十大網路安全風險排名

owasp_top10

1. Broken Access Control (權限控制失效)

它是指未能將帳號限制設定為預期的權限,容易讓駭客透過這項漏洞,進入企業中查看、修改、洩露、刪除其他帳號和管理員的數據,或是修改帳號和權限,甚至將惡意軟體安裝到系統中。

2. Cryptographic Failures (加密機制失效)

加密機制失效在 2017 年列表中稱敏感資料外洩。
名稱在2021年重新定義,並將問題核心定義在加密機制的失敗,並且因此造成機密資料外洩或是系統被破壞。
此外,它還表示為密碼保護不再足夠,並且應該對所有包含機密資訊的資料庫進行加密。

3. INJECTION (注入式攻擊)

2021年備受關注的新型漏洞「log4j」以及2022年初發現的核彈級漏洞「Spring4Shell」都是注入式攻擊的一種,注入式攻擊是最古老的、部署最廣泛的 Web 攻擊之一,之前獨立排名的XSS(跨網站指令碼)也被合併到了注入式攻擊中。
在該攻擊中,駭客將惡意代碼注入系統以啟動未經授權的命令來取得機密資料。注入式攻擊的方式很多,包括 SQL 注入、XSS、模板注入、XPath 注入、電子郵件注入、shell 注入等。

4. INSECURE DESIGN (不安全設計)

不安全設計是 2021 年列表中新增的一項,定義了與應用程式設計缺陷相關的風險。
這些不一定是設計錯誤,而只是有心人士利用可能造成損害的漏洞,舉個簡單的例子;網站允許前 1,000 名不重複訪問者獲得折扣。
有心人士卻使用不同的 IP 位置購買多種打折產品並轉售以獲取收益。

5. SECURITY MISCONFIGURATION (安全設定缺陷)

90%的應用程式都有驗測到某種類別的安全設定缺陷,XML外部實體注入攻擊 (XML External Entities)被合併於這個類別。
安全設定缺陷最常見原因是系統管理員沒有更改預設配置,或者他們在打開系統進行測試後忘記重新關閉系統。例如,機密資料外洩的主要原因之一是雲端儲存權限配置錯誤。

6. Vulnerable and Outdated Components (危險或過舊的元件)

是指網路中的元件包含了未修補已知漏洞的情況,通常是過時且不受支援的操作系統、應用程式、Web 應用程式伺服器、API 和資料庫管理系統 (DBMS)

7. Identification and Authentication Failures (認證及驗證機制失效)

之前排名第二的無效身份認證,去年來到第七位是因為越來越多企業組織採用多重身份驗證 (MFA) 以及行動 OTP 和生物識別等高級身份驗證技術,這些技術都有助防禦社交攻擊、憑證填充和暴力破解。

8. Software and Data Integrity Failures (軟體及資料完整性失效)

這是 2021 年版本全新的類別,軟體及資料完整性失效是由於缺乏資料完整性驗證過程而使用篡改或損壞的資料做出某些決定的狀況。
例如,駭客使用惡意軟體去破壞軟體更新文件,而應用程式會自動安裝更新,而無需驗證文件是否為原始文件,這是影響全球數萬組織SolarWinds供應鏈攻擊事件的主要原因。

9. Security Logging and Monitoring Failures (資安記錄及監控失效)

它描述了入侵監控和report系統未能捕獲和寫入駭客入侵的跡象,這可能是因為某些資安事件未記錄或日誌僅存儲在本地,或者警報值不足,如果沒有足夠的report報告,數據洩露可能會在數月或數年內未被發現。

10. Server-Side Request Forgery (伺服端請求偽造)

伺服端請求偽造(SSRF)也是2021年新列入的。當應用程式正在取得遠端資源,卻未驗證由使用者提供的網址,此時就會發生偽造伺服端請求。
即使有防火牆、VPN或其他網路ACL保護的情況下,攻擊者仍得以強迫應用程式發送一個經過捏造的請求給一個非預期的目的端,這些損壞的請求可能會導致資料洩露,隨著雲端服務和雲端結構的複雜性,SSRF 攻擊的嚴重性將會愈來愈嚴峻。

HiCloud WAF 五大優勢懶人包

看了以上常見的攻擊及漏洞,開發者要注意的細節越來越多,且惡意攻擊方式日益更新,資安保衛戰根本防不勝防,WAF絕對是能讓您安心的戰士,時時刻刻防護您的網站及應用程式。


HiCloud WAF 五大優勢

1.防止DDoS攻擊、注入式攻擊及安全漏洞

它可以應用在應用程式及網站上,針對漏洞和威脅建立強大的盾牌 例如 :SQL注入攻擊、XSS、XXE漏洞、勒索病毒、機密資料暴露等

2.即時監控惡意流量及只允許有效用戶進入

3.手動設置WAF,以適應您的業務和防火牆

4.符合國際信用卡資料安全技術PCI標準

5.可以與CDN結合使用

CDN是什麼?想了解更多請看這篇文章👉🏻 CDN是什麼?



WAF與NGFW防火牆、IPS、IDS有什麼不同?

從名字上來看,就能簡單知道這四種防火牆,彼此不同的工作內容;IPS是「入侵防禦系統」 WAF是「網站應用程式防火牆」IDS是「入侵偵測系統」NGFW是「次世代防火牆」,它們之間有什麼區別?

  • IDS入侵偵測系統

入侵偵測系統主要功能在負責監聽網路封包,依據預先設定的安全策略(Security Policy),對網路與系統的運行狀況進行監測,當發現異常,自動發出警訊通報給管理人員,記錄各種攻擊企圖、攻擊行為或者攻擊結果。

  • IPS入侵防禦系統

IPS 是一種更廣泛的安全產品。它通常是基於簽名認證的,這意味著它可以根據簽名資料庫檢查常見的漏洞和攻擊。

IPS 基於資料庫和安全策略(Security Policy)建立標準,然後在發現任何可疑流量時發送警報。它與IDS不同的地方在於將被動化為主動,當發現網路有異常流量或行為時,系統除發送警報給管理人員之外,還會立即採取必要的處置措施,例如阻斷來源IP。

隨著新漏洞的出現,簽名認證和安全策略也會隨著時間的推移而增長,一般來說,IPS 可以保護各種協議類型的流量,例如 DNS(域名系統)、SMTP(簡單郵遞傳送協定)、TELNET(應用層協定)、RDP(遠端桌面協定)、SSH(安全外殼協定) 和 FTP(檔案傳輸協定)

IPS 可以保護第3層和第4層(網路層及傳輸層),對於第7層(應用層)僅提供有限的保護。

  • NGFW次世代防火牆

次世代防火牆 (NGFW) 會監控通過網站、電子郵件帳戶和 SaaS 進入網路的流量。簡單地說,對比網站應用程式它比較是在保護用戶。

NGFW 會強制執行保護用戶的策略,此外還會添加 URL 過濾、防病毒/反惡意軟體等功能,有些還能搭配自己的入侵防禦系統 (IPS),且NGFW 通常是正向代理,是由用戶端使用瀏覽器而建立的防火牆,與WAF 的反向代理不同,它是保護伺服器的防火牆。

  • WAF 網站應用程式防火牆

WAF 主要就是作用於 OSI 網路架構 Layer 7 應用層,對於每個HTTP/S請求進行分析與過濾,它會在網站前先築起一道防護牆,並透過所擁有的資安威脅資料庫進行流量分析比對,判斷每支流量的安全性,准許安全流量進入網站。

WAF將可疑的、有害的、不信任的流量排除在外,避免惡意流量入侵網站影響安全性,確保網站的正常營運,對於許多組織而言,WAF 是應用程式的第一道防線!

什麼是OSI網路架構?Layer 1~Layer 7各自代表什麼含義?

上述提到許多不同防火牆所保護的網路架構層級,您可能會不了解不同層級對於網站的作用是什麼?透過介紹OSI網路架構,讓你更明白WAF所保護的應用層實質上帶來什麼好處,及為何是最重要的防護線。

依據網路運作方式,OSI模型共切分成7個不同的層級,每級按照網路傳輸的模式,定義所屬的規範及標準。由具體到抽象的網路傳輸方式層次來看,7層分別為實體層、資料連結層、網路層、傳輸層、會議層、展示層及應用層。

OSI網路架構
圖片來源:CloudFlare


詳細網路架構,請看👉🏻 CloudFlare教學

Layer 1 實體層(Physical Layer)

它用來定義網路裝置之間的位元資料傳輸,也就是在電線或其他物理線材上,傳遞0與1電子訊號,形成網路。實體層規範的內容包含了纜線的規格、傳輸速度,以及資料傳輸的電壓值,用來確保訊號可以在多種物理媒介上傳輸。

它是介於實體層與網路層之間,主要是在網路之間建立邏輯連結,並且在傳輸過程中處理流量控制及錯誤偵測,讓資料傳送與接收更穩定。資料連結層將實體層的數位訊號封裝成一組符合邏輯傳輸資料,這組訊號稱為資料訊框(Data Frame),資料訊框內包含媒體存取控制(Media Access Control,MAC)位址。
而資料在傳輸時,這項位址資訊可讓對方主機辨識資料來源,MAC位址是一組序號,每個網路設備的MAC位址都是獨一無二的,可以讓網路設備在區域網路溝通時彼此識別,例如網路卡就是明顯的例子。

Layer 3 網路層(Network Layer)

網路層定義網路路由及定址功能,讓資料能夠在網路間傳遞。這一層中最主要的通訊協定是網際網路協定(Internet Protocol,IP),資料在傳輸時,該協定將IP位址加入傳輸資料內,並把資料組成封包(Packet)。
在網路上傳輸時,封包裡面的IP位址會告訴網路設備這筆資料的來源及目的地,由於網路層主要以IP運作為主,故又稱為「IP層」。

Layer 4 傳輸層(Transport Layer)

傳輸層主要負責電腦整體的資料傳輸及控制,是OSI模型中的關鍵角色,它可以將一個較大的資料切割成多個適合傳輸的資料,替模型頂端的第五、六、七等三個通訊層提供流量管制及錯誤控制。

Layer 5 工作階段層(Session Layer)

會議層負責建立網路連線,等到資料傳輸結束時,再將連線中斷,運作過程有點像召集多人開會 (建立連線),然後彼此之間溝通交流 (資料傳輸),完成後,宣布散會 (中斷連線)。

Layer 6 呈現層(Presentation Layer)

應用層收到的資料後,透過展示層可轉換表達方式,例如將ASCII編碼轉成應用層可以使用的資料,或是處理圖片及其他多媒體檔案,如JPGE圖片檔或MIDI音效檔。
除了轉檔,有時候當資料透過網路傳輸時,需要將內容予以加密或解密,而這個工作就是在展示層中處理。

Layer 7 應用層(Application Layer)

應用層主要功能是處理應用程式,進而提供使用者網路應用的服務。這一層的協定很多也很複雜,使用者常見的通訊協定,有DHCP動態主機設定協定(Dynamic Host Configuration Protocol)、FTP(File Transfer Protocol)、HTTP(HyperText Transfer Protocol)及POP3郵局協議(Post Office Protocol-Version 3)等,依據不同的網路服務方式,這些協定能定義各自的功能及使用規範等細部規則。
它屬於第七層的應用軟體,像是網路瀏覽器(Chrome、Safari)、電子郵件、線上遊戲、即時通訊(Messenger、Telegram、LINE)等。上述軟體均透過單一或多種通訊協定,提供各類網路應用服務,像是網路瀏覽器藉由HTTP/S的溝通,即可呈現圖文並茂的網頁。

許多家Cloud WAF 的供應商,提供了由 Application 層面 (Layer 7) 到 Network 層面 (Layers 3, 4) 的DDoS保護功能,WAF可以因應各式各樣的通訊協定進而自定義設置策略,保護您的網站及應用程式

Cloud WAF 供應商「最佳推薦名單」

1.AWS(Amazon Web Services) WAF

WAF AWS WAF 包含功能完整的 API,以自動化安全規則的建立、部署和維護。
您可以將 AWS WAF 部署在 Amazon CloudFront 做為 CDN 解決方案的一部分、EC2 上執行的 Web 伺服器或原始伺服器前端的 Application Load Balancer、用於 REST API 的 Amazon API Gateway,或部署在用於 GraphQL API 的 AWS AppSync。
使用 AWS WAF,您只需按實際用量付費,且定價是以您部署的規則數以及 Web 應用程式收到的請求數為依據。
AWS WAF 詳細介紹👉🏻 https://aws.amazon.com/tw/waf/

AWS WAF架構圖
圖片來源:AWS官網

AWS WAF優勢

  • 針對 Web 攻擊的敏捷保護

AWS WAF 規則傳播和更新需要不到一分鐘的時間,使您能夠在問題發生時快速更新整個環境的安全性,WAF 支援數百條規則,這些規則可檢查 Web 請求的任何部分,並對傳入流量的延遲影響最小,AWS WAF 根據您建立的規則來篩選流量,以保護 Web 應用程式不受到攻擊。

  • 提升 Web 流量可見性

AWS WAF 可提供幾乎即時的 Web 流量可見性,您可使用這些資訊在 Amazon CloudWatch 建立新規則或提醒,還能透過擷取每個檢查的 Web 請求的完整標頭資料來提供全方位日誌,以用於安全自動化、分析或稽核用途。

  • 簡化部署和維護

您不需要部署其他軟體、不需要 DNS 配置、不需要管理 SSL/TLS 憑證或反向代理設定。藉由 AWS Firewall Manager 整合,您可以集中定義和管理規則,並在所有需要保護的 Web 應用程式間重複使用這些規則。

  • 輕鬆監控、封鎖機器人或限制其速率

使用 AWS WAF 機器人控制,您可以查看和控制應用程式常見和普遍的機器人流量,在 AWS WAF 主控台中,您可以監控常見的機器人,例如狀態監控器和搜尋引擎,並獲得有關機器人流量的類別、身分和其他詳細資訊的即時洞見,您還可以封鎖或限制無處不在的機器人 (如抓取程式、掃描器和爬取程式) 所產生流量。

2.CloudFlare WAF

Cloudflare web 應用程式防火牆(WAF)是應用程式安全產品組合的基石,這些產品確保應用程式和 API 安全、高效,抵禦 DDoS 攻擊,控制自動程式,檢測異常和惡意負載,同時監測瀏覽器供應鏈攻擊。
所有Cloudflare客戶都受到 142 Tbps DDoS 緩解能力的保護,CloudFlare 的270 個資料中心的每一台伺服器都運行著 DDoS 緩解服務,可抵禦最大規模的攻擊。
CloudFlare WAF詳細介紹👉🏻https://www.cloudflare.com/zh-tw/waf/

cloudflare WAF架構圖
圖片來源:CloudFlare官網

CloudFlare WAF 優勢

  • 龐大的網路容量

我們的全球網路容量高達 142 Tbps,每秒處理數千萬個要求。

  • 部署快及有效率的緩解攻擊

安全性部署更快、更輕鬆,實現更快的緩解和價值實現時間
零日保護快速部署、即時虛擬修補漏洞,規則數秒內即可部署到全球。

  • 全面性的保護組合

基於 Rust 的單一引擎驅動組合保護,實現滴水不漏的安全性。

  • 高效的機器學習

CloudFlare的網路對威脅擁有無以倫比的可見性,造就了最嚴密的安全性和最高效的機器學習。

3. Google Cloud Armor

Google Cloud Armor以頻率為基礎的規則可協助您保護應用程式,避免大量要求影響執行個體,並封鎖合法使用者的存取權。
自動調整的防護機制,能夠運用在本機訓練的機器學習系統,自動偵測及減輕大量針對應用程式發動的第 7 層分散式阻斷服務攻擊,並且支援混合式雲端及多雲端的部署,強制執行第7層的安全性政策,它根據依據業界標準設定的現成規則,可縮減常見的網頁應用程式安全漏洞,並防範 OWASP 機構彙整的十大資安風險。
Google Cloud Armor還能夠針對機器人提供自動化應用程式防護功能,並且透過 reCAPTCHA Enterprise 的原生整合,協助防堵內嵌和邊緣詐欺。
Google Cloud Armor詳細介紹👉🏻https://cloud.google.com/armor
Google Cloud Armor架構圖
圖片來源:Google Cloud Blog

Google Cloud Armor 優勢

  • 企業級分散式阻斷服務 (DDoS)

安全防護 Google在保護 Google 搜尋、Gmail 和 YouTube 等重要網路資產上累積的豐富經驗,如今也運用於 Cloud Armor。
Cloud Armor 提供的內建防護機制可有效防禦 L3 和 L4 DDoS 攻擊。

  • 防範 OWASP 十大資安風險

Cloud Armor 提供預先定義的規則,有助阻擋跨網站指令碼攻擊 (XSS) 和 SQL 植入 (SQLi) 等威脅。

  • 代管式防護機制

有了 Cloud Armor Managed Protection Plus 方案,即可使用分散式阻斷服務防護機制和網路應用程式防火牆服務、精選規則集及其他服務,而每月付費的方式也可讓您提前掌握支出。

4.Azure WAF

Azure Web應用程式防火牆是雲端原生服務,可保護您的 Web 應用程式免受 SQL 插入等常見的網路駭客攻擊,和跨網站指令碼攻擊等安全性漏洞的威脅。
幾分鐘內即可部署服務,以完整檢視您的環境並封鎖惡意攻擊。
Azure WAF 詳細介紹👉🏻https://azure.microsoft.com/zh-tw/services/web-application-firewall/

Azure WAF架構圖
圖片來源:Azure官網

Azure WAF優勢

  • 使用受控規則集來保護 Web 應用程式

使用最新的受控規則集和預先設定的規則集,只需要幾分鐘的時間就能保護 Web 應用程式。
Azure Web 應用程式防火牆偵測引擎結合更新的規則集,可提升安全性、減少誤報,並改善效能。

  • 透過無代理程式部署滿足安全性需求

輕鬆部署 Azure Web 應用程式防火牆安全性,且不需要額外的軟體代理程式。集中定義和自訂規則以符合您的安全性需求,然後套用這些規則來保護所有的 Web 應用程式。

  • 改善安全性和分析的可見度

體驗 Azure 中緊密整合的安全性資訊與事件管理 (SIEM) 工具。使用 Azure Sentinel 存取預先建立的活頁簿,修改這些活頁簿以符合組織的需求。

  • 快速達成組織合規性

使用 Azure 原則協助強制執行組織標準,並大規模評估 Web 應用程式防火牆資源的合規性。取得彙總檢視,以評估環境的整體狀態。

  • 提升邊緣的安全性並將效能最佳化

在 Azure Front Door 中部署 Azure Web 應用程式防火牆,以取得進階的安全性、可擴縮性,並將應用程式加速傳遞給全球使用者。

  • 監視安全性警示和記錄

使用 Azure 監視器來追蹤診斷資訊,包括安全性警示和記錄,其提供偵測到的威脅詳細報告。



結語:保護Web應用程式與資料安全的重要性

說到企業資安這件事,其實無論是 WAF 或是任何一種安全防護工具,都無法百分百保證網站 24 小時都是安全的,這是需要企業及用戶一起遵守安全守則,以盡量避免資料洩漏的危機,這也是為什麼有時候我們會看到,某某企業安裝了 OOO 卻仍發生資安事件,進而質疑 OOO 服務的防護力道。
資安防護工具並非無敵星星,還需要搭配定期的監控與優化,才可確認其安全可信度。HiCloud運用各大公有雲平台所創設的產品,搭配WAF功能的優勢,為客戶打造專屬的資安防護網解決方案,HiCloud的專業人員也會即時監控所有可疑流量,替客戶把關所有的機密資料,並且隨時精進專業技能,針對目前國際上或是資安論壇上提及的最新攻擊手法,在還未收錄進資安資料庫時,就先以真人進行監控管理,並提供資安報告與優化建議,擴大 WAF的安全防護應用。
想要了解更多WAF的解決方案嗎?
請上HiCloud官網👉🏻 HiCloud WAF

# WAF  CDN  AWS  GCP  Azure  CloudFlare 
Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×