文/MetaAge 迈达特 云端架构师 Bill Lee
WAF 是什麽?什麽情况需要使用 WAF?
WAF 全名 Web Application Firewall,直译为「网页应用程式防火墙」,顾名思义就是专门用来保护网页应用的防火墙。当企业有将网页开放给不特定人士的需求时,WAF 便是最佳选择,因为 WAF 防御层面为 L7,也就是应用层,一般访客访问网页时,就是使用应用层的协定进行。在网路攻击成本越来越低、以及网路业务日趋发达的时代,网页应用加上 WAF 进行保护已然是刚性需求。
WAF 的应用原理是什麽?
WAF 透过解析辨识 Http 的 Header 判断是否为正常流量。Header 类似 Http 传输协定中的通行证,当中包含了 IP、User Agent、地理位址、请求时间等各种不同的资讯,进行阻拦、允许或进行客制化回应。
举例来说,网页最常遭遇的 SEO 爬虫机器人,WAF 可以通过判断 User Agent 的资讯判断是否为 SEO,并针对该流量进行优化,例如将 SEO 流量重新指向到静态页面,以利机器人抓去更多内容。
又或者 WAF 可以藉由 IP 或国家地理位置等资讯进行流量筛选,可有效降低来自非目标区域客户的流量攻击,在访问起始时就可进行保护与筛选,减轻後端对於恶意流量的负载。
WAF 和 CDN 的关联是?
WAF 与 CDN 都是服务於 L7 的解决方案,WAF 负责过滤恶意流量,CDN 则负责加速正常流量,确保服务正常,两者可以说是相辅相成。一般而言,硬体或主机式 WAF 在没有 CDN 的加持下,由於受限於架构,因此往往都是放在网页伺服器的前端,当遭遇大流量 DDoS 攻击时,在单台 WAF 的流量处理能力有限的情况之下,防火墙就可能会当机,进而造成服务中断的情况。
有 CDN 的话,情况就会完全不同。因为 CDN 本身预设就是拒绝 L3、L4 层的流量,因此成本较低的 DDoS 攻击,会被 CDN 完全阻拦,只剩下 L7 的流量,且 CDN 是分散式节点架构,因此可快速分散流量到不同的节点,避免单点故障造成的服务中断,这则是单台 WAF 无法比拟的地方。
WAF 的 3 大选择关键
一个好的 WAF 会需要具备以下 3 大功能面向,才能克服现代攻击手段变化无穷的现象。
自适应威胁检测引擎
透过自适应检测引擎中的 AI/ML 功能,自动学习与监控网站的存取流量,即时发现与阻拦恶意攻击,实现更高程度的自动化调整,无需管理者过多的介入,便可以在安全防护上取得巨大的成效。
广泛地保护功能
当今网路攻击多变,包含 DDoS、WAF、BOT 等不同类型的攻击,有时候也会有复合的攻击型态,或是伪装成正常流量的攻击,因此单一平台同时具备多种防护功能,并且能统整对应的攻击特徵与资讯,便是不可或缺的功能。
易於使用的介面
传统 WAF 在设定调整时,往往需要以正规表达式依据不同的攻击类型设定多条规则,日积月累下高达上千条的规则也是相当常见的事情,在规则维护上也相当不直观,攻击类型的报告与统整,也往往需要管理者运用第三方工具进行视觉化,才能直观地了解防御结果。因此在介面操作上,如何降低管理者的负担,并保持相对设定上的弹性,会是 WAF 功能的关键因素之一。
WAF 的种类与各类 WAF 的优缺点
WAF 主要分硬体型、软体型、云端型,优劣势比较如下表:
硬体型 Hardware-based WAF | 软体型 Software-based WAF | 云端型 Cloud-based WAF | |
优点 | 高性能 低延迟 | 具成本效益 具灵活性 | 即时部署 维护由供应商管理 全球性保护 |
缺点 | 高成本 缺乏灵活性 | 效能有限 安全性依赖主机 | 可能延迟 仰赖供应商 |
➤ 优势
1. 高性能:硬体型 WAF 通常具有强大的处理能力,可以应对大规模流量和复杂攻击。
2. 低延迟:由於硬体的专用性质,可以实现低延迟的攻击检测和阻止。
➤ 劣势
1. 高成本:硬体WAF通常需要昂贵的硬体设备,并需要维护和更新。
2. 缺乏灵活性:难以扩展和自定义,因此可能不适用於多变的环境。
➤ 优势
1. 成本效益:相对於硬体型WAF,软体型WAF通常成本较低。
2. 灵活性:可以在软体层面进行自定义配置和扩展。
➤ 劣势
1. 效能有限:软体 WAF 的性能可能受限於主机硬体和资源。
2. 安全性依赖主机:受 OS 的影响,可能有额外漏洞需要修补。
➤ 优势
1. 即时部署:云端 WAF 可以快速部署,并且不需要购买硬体。
2. 维护由供应商处理:供应商负责更新和维护,减轻管理负担。
3. 全球性保护:可提供全球性的攻击防护,网路流量可以通过云端节点进行检查。
➤ 劣势
1. 延迟:由於数据需要传输到云端供应商,可能引入一些延迟。
2. 依赖供应商:安全性和可用性依赖供应商,如果供应商出现问题,可能会影响保护。
WAF 的企业使用案例
网路时代之下,WAF 已经是各行各业的标准防御。而针对高要求的金融支付行业,Cloud WAF 透过其分散式运算的架构,获得台湾金流指标厂商蓝新科技采用。蓝新科技部署 Akamai 资安方案,导入 Akamai AAP 快速提升安全防护能力,全力阻止恶意流量干扰金流服务。
WAF 解决方案推荐:Akamai
针对云端型 WAF (Cloud-based WAF) 解决方案 ,资安大厂 Akamai AAP 服务在 Gartner 中已连续六年位居领导者地位,并且提供 100% 的 SLA,保证即使遭受大规模攻击时,也可以正常提供服务给客户。Akamai 在 WAF 上具备多种防护方式,包含 WAF、BOT、DDoS 等攻击侦测类性,并且平台可自主学习提供 WAF 规则的调整建议,不需过多人为介入调整。
Akamai 还提供了丰富的资安仪表板,可以让管理者轻松了解目前网站的安全状况,依据不同维度呈现攻击情况,包含攻击类型、国家、IP、时间等面向,协助管理人判断目前遭遇攻击的类型,并且进一步调整防御策略。
MetaAge 迈达特-Akamai 指定的台湾代理商
IT 智能化最佳夥伴 MetaAge 迈达特是 Akamai 台湾代理商,拥有 20 位以上的 Akamai 专业团队,且技术相关人员超过半数,同时,迈达特也具备 7×24 MSP 服务团队,可快速对应客户需求,随时站在第一线协助客户解决问题,透过专业技术服务台湾企业用户,确保您的服务与营运不中断,从第 0 秒就开始保障您的网路资安。欢迎立即 免费谘询,了解受无数企业器重的 Akamai 资安解决方案。