技術專欄
文/MetaAge 邁達特 雲端架構師 Bill Lee
WAF 全名 Web Application Firewall,直譯為「網頁應用程式防火牆」,顧名思義就是專門用來保護網頁應用的防火牆。當企業有將網頁開放給不特定人士的需求時,WAF 便是最佳選擇,因為 WAF 防禦層面為 L7,也就是應用層,一般訪客訪問網頁時,就是使用應用層的協定進行。在網路攻擊成本越來越低、以及網路業務日趨發達的時代,網頁應用加上 WAF 進行保護已然是剛性需求。
WAF 透過解析辨識 Http 的 Header 判斷是否為正常流量。Header 類似 Http 傳輸協定中的通行證,當中包含了 IP、User Agent、地理位址、請求時間等各種不同的資訊,進行阻攔、允許或進行客製化回應。
舉例來說,網頁最常遭遇的 SEO 爬蟲機器人,WAF 可以通過判斷 User Agent 的資訊判斷是否為 SEO,並針對該流量進行優化,例如將 SEO 流量重新指向到靜態頁面,以利機器人抓去更多內容。
又或者 WAF 可以藉由 IP 或國家地理位置等資訊進行流量篩選,可有效降低來自非目標區域客戶的流量攻擊,在訪問起始時就可進行保護與篩選,減輕後端對於惡意流量的負載。
WAF 與 CDN 都是服務於 L7 的解決方案,WAF 負責過濾惡意流量,CDN 則負責加速正常流量,確保服務正常,兩者可以說是相輔相成。一般而言,硬體或主機式 WAF 在沒有 CDN 的加持下,由於受限於架構,因此往往都是放在網頁伺服器的前端,當遭遇大流量 DDoS 攻擊時,在單台 WAF 的流量處理能力有限的情況之下,防火牆就可能會當機,進而造成服務中斷的情況。
有 CDN 的話,情況就會完全不同。因為 CDN 本身預設就是拒絕 L3、L4 層的流量,因此成本較低的 DDoS 攻擊,會被 CDN 完全阻攔,只剩下 L7 的流量,且 CDN 是分散式節點架構,因此可快速分散流量到不同的節點,避免單點故障造成的服務中斷,這則是單台 WAF 無法比擬的地方。
一個好的 WAF 會需要具備以下 3 大功能面向,才能克服現代攻擊手段變化無窮的現象。
透過自適應檢測引擎中的 AI/ML 功能,自動學習與監控網站的存取流量,即時發現與阻攔惡意攻擊,實現更高程度的自動化調整,無需管理者過多的介入,便可以在安全防護上取得巨大的成效。
當今網路攻擊多變,包含 DDoS、WAF、BOT 等不同類型的攻擊,有時候也會有複合的攻擊型態,或是偽裝成正常流量的攻擊,因此單一平台同時具備多種防護功能,並且能統整對應的攻擊特徵與資訊,便是不可或缺的功能。
傳統 WAF 在設定調整時,往往需要以正規表達式依據不同的攻擊類型設定多條規則,日積月累下高達上千條的規則也是相當常見的事情,在規則維護上也相當不直觀,攻擊類型的報告與統整,也往往需要管理者運用第三方工具進行視覺化,才能直觀地了解防禦結果。因此在介面操作上,如何降低管理者的負擔,並保持相對設定上的彈性,會是 WAF 功能的關鍵因素之一。
|
硬體型 Hardware-based WAF |
軟體型 Software-based WAF |
雲端型 Cloud-based WAF |
|
|
優點 |
高性能 低延遲 |
具成本效益 具靈活性 |
即時部署 維護由供應商管理 全球性保護 |
|
缺點 |
高成本 缺乏靈活性 |
效能有限 安全性依賴主機 |
可能延遲 仰賴供應商 |
➤ 優勢
1. 高性能:硬體型 WAF 通常具有強大的處理能力,可以應對大規模流量和複雜攻擊。
2. 低延遲:由於硬體的專用性質,可以實現低延遲的攻擊檢測和阻止。
➤ 劣勢
1. 高成本:硬體WAF通常需要昂貴的硬體設備,並需要維護和更新。
2. 缺乏靈活性:難以擴展和自定義,因此可能不適用於多變的環境。
➤ 優勢
1. 成本效益:相對於硬體型WAF,軟體型WAF通常成本較低。
2. 靈活性:可以在軟體層面進行自定義配置和擴展。
➤ 劣勢
1. 效能有限:軟體 WAF 的性能可能受限於主機硬體和資源。
2. 安全性依賴主機:受 OS 的影響,可能有額外漏洞需要修補。
➤ 優勢
1. 即時部署:雲端 WAF 可以快速部署,並且不需要購買硬體。
2. 維護由供應商處理:供應商負責更新和維護,減輕管理負擔。
3. 全球性保護:可提供全球性的攻擊防護,網路流量可以通過雲端節點進行檢查。
➤ 劣勢
1. 延遲:由於數據需要傳輸到雲端供應商,可能引入一些延遲。
2. 依賴供應商:安全性和可用性依賴供應商,如果供應商出現問題,可能會影響保護。
網路時代之下,WAF 已經是各行各業的標準防禦。而針對高要求的金融支付行業,Cloud WAF 透過其分散式運算的架構,獲得台灣金流指標廠商藍新科技採用。藍新科技部署 Akamai 資安方案,導入 Akamai AAP 快速提升安全防護能力,全力阻止惡意流量干擾金流服務。
針對雲端型 WAF (Cloud-based WAF) 解決方案 ,資安大廠 Akamai AAP 服務在 Gartner 中已連續六年位居領導者地位,並且提供 100% 的 SLA,保證即使遭受大規模攻擊時,也可以正常提供服務給客戶。Akamai 在 WAF 上具備多種防護方式,包含 WAF、BOT、DDoS 等攻擊偵測類性,並且平台可自主學習提供 WAF 規則的調整建議,不需過多人為介入調整。
Akamai 還提供了豐富的資安儀表板,可以讓管理者輕鬆了解目前網站的安全狀況,依據不同維度呈現攻擊情況,包含攻擊類型、國家、IP、時間等面向,協助管理人判斷目前遭遇攻擊的類型,並且進一步調整防禦策略。
IT 智能化最佳夥伴 MetaAge 邁達特是 Akamai 台灣代理商,擁有 20 位以上的 Akamai 專業團隊,且技術相關人員超過半數,同時,邁達特也具備 7×24 MSP 服務團隊,可快速對應客戶需求,隨時站在第一線協助客戶解決問題,透過專業技術服務台灣企業用戶,確保您的服務與營運不中斷,從第 0 秒就開始保障您的網路資安。歡迎立即 免費諮詢,了解受無數企業器重的 Akamai 資安解決方案。
