為什麼要部署Web應用防火牆（WAF）？

大型的Web應用易受多種攻擊，如SQL隱碼攻擊和跨站指令碼攻擊漏洞，由此可以造成當機時間、效率降低、資料失竊、違規罰款、品牌受損、服務中斷、客戶不滿等。為保護Web應用程式，建議企業利用Web應用防火牆（WAF）。

Web應用防火牆（WAF）執行在應用層，並且能夠動態地學習和適應保護，可以與其它安全技術相整合。下面和 56雲討論對不同方案的比較和實施建議。

需考慮的問題

企業可以將應用交付控制器(ADC)元件、雲服務、Web應用防火牆（WAF）作為一種獨立的裝置部署在Web伺服器上，或部署在其前端，專門對特別的Web應用進行精細保護。其功能包括將已知的攻擊與強化合法通訊等安全模式結合起來，防禦Web攻擊並減少虛假情報(也就是那些似是而非的情報)。

總體說來，Web應用程式是攻擊者認為最值得“下手”的攻擊目標，因為這些軟體有足夠的漏洞，因而是進入企業的最容易的方式。

雖然典型的網路防火牆位於網路的外圍，入侵防禦系統(IPS)通常並不能理解Web應用協議邏輯，因而無法完全辨別應用層(即OSI的第七層)上的請求是否正常。

Web應用防火牆（WAF）可以防禦IPS無法防禦的攻擊，並能夠根據一套完整的特徵查詢Web漏洞和攻擊而實施保護，而且還可以檢測惡意的檔案上傳。

除了可以在第四層到第七層強化訪問控制策略，防止攻擊者在沒有得到適當的授權時訪問資料，Web應用防火牆（WAF）還應當提供外發資料洩露的檢查(例如，非法的檔案下載)、過濾敏感資訊(例如，信用卡號)，與其它安全標準(例如，PCI DSS)結合，這有助於防禦應用層的DDoS攻擊。

企業期望從Web應用防火牆（WAF）中得到多少好處依賴於各種因素，其中包括如何配置、調整以及維護。企業不能認為正確配置完畢Web應用防火牆（WAF）後就萬事大吉了，而是要求企業根據應用需要和網路自身的通訊行為不斷地維護和調整。

在啟用了必要的策略和特徵後，Web應用防火牆（WAF）提供了最精細的Web應用防禦。在這點上，它要比入侵防禦系統好些。

Web應用防火牆（WAF）部署可以減少企業掃描漏洞的頻率。此外，Web應用防火牆（WAF）還可以與漏洞掃描器、DDoS保護裝置和其它技術相整合，而且可以給易受攻擊的Web應用程式實施虛擬補丁。