什麼是 Web 應用防火牆(WAF)?

StrokMitream發表於2020-04-11

時下,網路攻擊和針對網站的攻擊與日俱增。同時,在我們的日常生活中,安全的重要性也迅速提升。
因此,保證線上上世界的安全變得越來越重要。更重要的是,保護你的網站和所儲存的資料的安全。所以,我們將介紹什麼是 網頁應用防火牆(WAF)以及 WAF 的重要性。

Why--為什麼保護你的網站很重要 ?

舉例來說,根據目前的統計資料,64% 的公司曾遭受過 web 攻擊。62% 的公司曾被釣魚或是社會工程學攻擊。另外,59% 的公司曾被惡意程式碼和殭屍網路攻擊過。
談及網站安全和 CMS 安全,就不得不說活躍度不斷提升的注入攻擊。例如,WordPress 依然是 Web 攻擊的主流的網站 CMS。
平均來說,每天大約有 30000 到 50000 個網站被黑。事實上,這 3000 個網站中絕大部分為合法的中小企業,不經意間就成為網路犯罪的惡意程式碼分發肉雞。

一般來說,在網路攻擊面前,面向公共網路的 web 介面,被認為最為脆弱的和高風險的。因此,網站自然而然地就成為駭客攻擊的主要目標之一。
針對網站的攻擊,最常見的攻擊形式包括跨站指令碼攻擊(XSS)、SQL 注入和任意遠端程式碼執行(ARCE)。

How--如何防護網站攻擊 ?

當我們離開家或者辦公室出去,通常會把門鎖上。這相當自然,對嗎 ?類似的,跟你離開家或辦公室鎖門一樣,對你網際網路上的 “家”,你也需要一把“鎖”。
這把鎖很重要,因為偶爾有心懷惡意的人,企圖進來偷走你的資料。

為了保證網路安全,你有幾種選擇:你可以手工操作,基於自己的知識去加固你的網站;或者在專家的幫助下做防護。這包括經常性的更新,手動監控,備份和補丁。
或者你可以尋求 WAF 的幫助,做這些髒活累活。為網站構建安全防護層,你需要安全體系來作為你網站的第一道防線。Web 應用防火牆就是這樣的第一道防線。

What--Web 應用防火牆是什麼 ?

So,WAF 是什麼 ? Web 應用防火牆(Web Application Firewall,簡稱 WAF),是一種應用防火牆,用來監控,過濾和攔截可能對網站有害的流量。
因此 Web 應用防火牆,是用於攔截和捕獲惡意流量,阻止其到達真正的 Web 伺服器。

 

 

Web 應用防火牆,和普通防火牆一樣由眾多元件協調工作,來攔截惡意流量,阻止非正常結果。
Web 應用防火牆區別於傳統防火牆的是,除了攔截具體的 IP 地址或埠,WAF 更深入地檢測 Web 流量,探測攻擊訊號或可能的注入。另外,WAF 是可定製的——針對不同的應用有眾多不同的具體規則。

Web 應用防火牆(WAF)是一種用於 HTTP 應用的應用防火牆。它透過一系列規則來約束 HTTP 連線。通常,這些規則覆蓋常見的各種 Web 攻擊如 XSS 和 SQL 注入攻擊。

白名單

白名單包含一系列“好”的東西——應該直接透過防火牆規則而無需進行流量檢測。例如,我們在網頁中設計了一個表格,用於接收 HTML code。所以,我們希望把這個表格加入 WAF 白名單避免 XSS/HTML 注入檢查。

黑名單

黑名單完全是白名單的對立面,包含一系列“不好”的東西,不應該透過防火牆。

混合名單

混合名單就是白名單+黑名單。這是現代防火牆最為常用的策略。

基於簽名的檢測

基於簽名的檢測更多地是用於入侵檢測而不是防火牆。然而,許多現代防火牆加入該功能用來識別流量模式,並阻斷惡意的請求。

為什麼需要 Web 應用防火牆 ?

駭客總是不斷地找到新的方式,訪問你的網站。這意味著僅靠安全編碼意識和在編碼過程中實施安全措施是不夠的。

PCI DSS 3.1 要求:
6.6 建議部署 WAF 裝置:
“Installing an automated technical solution that detects and prevents web based attacks(for example, a web application firewall) in front of publiic facing web applications, to continually check all traffic”.

 

注:PCI-DSS 安全認證: PCI-DSS 安全認證全稱 Payment Card Industry (PCI) Data Security Standard,由 VISA、美國運通公司、發現金融服務公司、JCB 和萬事達國際組織等五家國際信用卡組織聯合推出,是目前全球最嚴格、級別最高的金融機構安全認證標準。

 

特別提醒一下,Web 應用防火牆是個專門用於 Web 應用的安全工具。因此,如果 WAF 是你公司僅有的安全投資,很顯然在今天的網路環境下,這對保障系統安全,是不夠的


 

相關文章