什麼是 Web 應用防火牆（WAF）？

時下，網路攻擊和針對網站的攻擊與日俱增。同時，在我們的日常生活中，安全的重要性也迅速提升。
因此，保證線上上世界的安全變得越來越重要。更重要的是，保護你的網站和所儲存的資料的安全。所以，我們將介紹什麼是 網頁應用防火牆（WAF）以及 WAF 的重要性。

Why--為什麼保護你的網站很重要 ？

舉例來說，根據目前的統計資料，64% 的公司曾遭受過 web 攻擊。62% 的公司曾被釣魚或是社會工程學攻擊。另外，59% 的公司曾被惡意程式碼和殭屍網路攻擊過。
談及網站安全和 CMS 安全，就不得不說活躍度不斷提升的注入攻擊。例如，WordPress 依然是 Web 攻擊的主流的網站 CMS。
平均來說，每天大約有 30000 到 50000 個網站被黑。事實上，這 3000 個網站中絕大部分為合法的中小企業，不經意間就成為網路犯罪的惡意程式碼分發肉雞。

一般來說，在網路攻擊面前，面向公共網路的 web 介面，被認為最為脆弱的和高風險的。因此，網站自然而然地就成為駭客攻擊的主要目標之一。
針對網站的攻擊，最常見的攻擊形式包括跨站指令碼攻擊（XSS）、SQL 注入和任意遠端程式碼執行（ARCE）。

How--如何防護網站攻擊 ？

當我們離開家或者辦公室出去，通常會把門鎖上。這相當自然，對嗎 ？類似的，跟你離開家或辦公室鎖門一樣，對你網際網路上的 “家”，你也需要一把“鎖”。
這把鎖很重要，因為偶爾有心懷惡意的人，企圖進來偷走你的資料。

為了保證網路安全，你有幾種選擇：你可以手工操作，基於自己的知識去加固你的網站；或者在專家的幫助下做防護。這包括經常性的更新，手動監控，備份和補丁。
或者你可以尋求 WAF 的幫助，做這些髒活累活。為網站構建安全防護層，你需要安全體系來作為你網站的第一道防線。Web 應用防火牆就是這樣的第一道防線。

What--Web 應用防火牆是什麼 ？

So，WAF 是什麼 ? Web 應用防火牆（Web Application Firewall，簡稱 WAF），是一種應用防火牆，用來監控，過濾和攔截可能對網站有害的流量。
因此 Web 應用防火牆，是用於攔截和捕獲惡意流量，阻止其到達真正的 Web 伺服器。

Web 應用防火牆，和普通防火牆一樣由眾多元件協調工作，來攔截惡意流量，阻止非正常結果。
Web 應用防火牆區別於傳統防火牆的是，除了攔截具體的 IP 地址或埠，WAF 更深入地檢測 Web 流量，探測攻擊訊號或可能的注入。另外，WAF 是可定製的——針對不同的應用有眾多不同的具體規則。

Web 應用防火牆（WAF）是一種用於 HTTP 應用的應用防火牆。它透過一系列規則來約束 HTTP 連線。通常，這些規則覆蓋常見的各種 Web 攻擊如 XSS 和 SQL 注入攻擊。

白名單

白名單包含一系列“好”的東西——應該直接透過防火牆規則而無需進行流量檢測。例如，我們在網頁中設計了一個表格，用於接收 HTML code。所以，我們希望把這個表格加入 WAF 白名單避免 XSS/HTML 注入檢查。

黑名單

黑名單完全是白名單的對立面，包含一系列“不好”的東西，不應該透過防火牆。

混合名單

混合名單就是白名單+黑名單。這是現代防火牆最為常用的策略。

基於簽名的檢測

基於簽名的檢測更多地是用於入侵檢測而不是防火牆。然而，許多現代防火牆加入該功能用來識別流量模式，並阻斷惡意的請求。

為什麼需要 Web 應用防火牆 ?

駭客總是不斷地找到新的方式，訪問你的網站。這意味著僅靠安全編碼意識和在編碼過程中實施安全措施是不夠的。

PCI DSS 3.1 要求：
6.6 建議部署 WAF 裝置：
“Installing an automated technical solution that detects and prevents web based attacks(for example, a web application firewall) in front of publiic facing web applications, to continually check all traffic”.

注：PCI-DSS 安全認證： PCI-DSS 安全認證全稱 Payment Card Industry (PCI) Data Security Standard，由 VISA、美國運通公司、發現金融服務公司、JCB 和萬事達國際組織等五家國際信用卡組織聯合推出，是目前全球最嚴格、級別最高的金融機構安全認證標準。

特別提醒一下，Web 應用防火牆是個專門用於 Web 應用的安全工具。因此，如果 WAF 是你公司僅有的安全投資，很顯然在今天的網路環境下，這對保障系統安全，是不夠的 。

---