WAF 指的是網站應用程式防火牆(Web Application Firewall )。主要用於保護網站的各式的應用程式,像是會員登入、購物車、訂單系統、線上客服等。去監控要連進網站的 HTTP 傳輸流量,比對病毒、惡意程式資料庫或惡意攻擊手法等,過濾出可疑流量然後把惡意流量拒絕在外,避免用這些漏洞攻擊網站。
-
WAF 是什麼?
如果用簡單的概念來理解 WAF!大概可以想像把網站比喻成大樓,WAF 等於大門警衛的概念,檢查每一個進入大樓的訪客身分,針對身分做比對,允許好的正常的訪客進入,可疑危險的訪客拒絕他們進入。WAF 就是用來過濾可疑與惡意連線,來保護網站的。
所以 WAF 防火牆的作用是保護網站應用程式避免被駭客入侵或遭受網路惡意攻擊,避免資料外洩、網頁遭竄改,保障網站安全。WAF 透過監控網站流量,並將惡意、可疑的流量過濾掉,只讓正常且安全的流量進入網站。
-
網站常見攻擊手法
WAF可防禦網頁應用程式的常見攻擊類型,像是 OWASP Top 10 中常出現的一些攻擊手法。以下為 OWASP 提供的 2021 十大網站安全風險排名
1.權限控制失效
Broken Access Control
2.加密機制失效
Cryptographic Failures
3.注入式攻擊
Injection
4.不安全設計
Insecure Design
5.安全設定缺陷
Security Misconfiguration
6.危險或過舊的元件
Vulnerable and Outdated Components
7.認證及驗證機制失效
Identification and Authentication Failures
8.軟體及資料完整性失效
Software and Data Integrity Failures
9.資安紀錄及監控失效
Security Logging and Monitoring Failures
10.伺服端請求偽造
Server-Side Request Forgery
( SSRF ) -
WAF 是如何保護企業網站的?
如何活用 WAF 防禦入侵? 了解 SQL injection 和 XSS 跨站攻擊等駭客手法如何攻擊你的網站,還可以了解 WAF 如何抵禦這些入侵攻擊。
IIS 伺服器安全
透過執行 SaaS ( Security-as-a-Service ) 解決方案,無論網站管理員功力厲害與否,WAF 能為網站伺服器提供保護,為網站程式避免掉許多威脅。透過檢測分析網站流量內容,確認是否符合或違反通訊協議、port 或 IP,避免網站程式被攻擊。WAF 能提供優化後的防禦服務,防禦DDoS 攻擊、XSS 跨站攻擊、SQL Injection、path traversal 以及其他網站攻擊技術。
WAF 可以抵禦 IIS 伺服器以下漏洞
路徑探索 ( Path Traversal ) / 已知蠕蟲 / 遠端命令執行 / 探針 ( Probes ) DDoS攻擊 / 伺服器入侵
防禦 XSS 跨站攻擊
比較常見 XSS 攻擊的例子,如討論區、留言版或任何能輸入資料的地方,允許使用者輸入 HTML、JavaScript,並且正常解析執行。當其他使用者瀏覽這篇留言時,便會執行惡意程式。
為何需要 WAF 來抵禦 XSS 跨站攻擊?
簡單就能安裝在 Apache 和 IIS 伺服器上針對已知或新興的駭客手法進行防禦
針對即時防禦,預設最佳化的安全規範提供介面及 API,便於管理多台伺服器
無需額外的硬體設備,隨業務規模彈性擴充
電子商務安全
電商利益驚人,卻已成駭客眼中肥羊,保障電商安全是當務之急。信用卡盜用及欺詐。信用卡資料安全性對於電子商務來說格外的重要。
WAF可以抵禦電子商務以下漏洞
SQL Injection / XSS跨站攻擊 / Path Traversal
Session Hijacking(會話劫持) / 惡意軟體(Drive-by downloads)
駭客攻擊
不安全的網站越來越多,駭客虎視眈眈您網路上的一切資料 WAF可以抵禦駭客攻擊以下漏洞。
一旦決定攻擊目標,便可利用以下方式展開攻擊
XSS 跨站攻擊 / SQL Injection / 遠端命令執行 DDoS 攻擊 / Path Traversal / 其他一旦找到漏洞,駭客便直接展開攻擊。更可以利用僵屍電腦擴大攻擊範圍,達到最大效果。
信用卡安全
如果網站的信用卡資料常常遭竊的話,除了營業損失之外,還得時常面對法律訴訟以及其他罰款。消費者一旦認定說,在這個網站消費不安全,不願在此消費時,會明顯影響公司的收入。品牌聲譽受損,比任何罰款都來得嚴重。
透過 WAF,我們可以即時檢測網站的流量內容,尋找那些已知或未知的惡意封包
-
WAF 防護流程示意圖
以下為 WAF 保護企業網站的流程圖,因為每個連線來源與目的都不相同, WAF 會在進入網站之前,築起一道防護關卡。透過資安威脅資料庫進行流量分析比對,判斷每個連線是否安全,准許安全流量進入網站。那些可疑的、有害的、不信任的流量就排除在外,避免惡意流量入侵網站影響安全性,確保網站的正常營運。
-
WAF 達到資安合規性
各個產業都有針對安全性或資訊安全的規範與準則,稱之為產業合規性。為了企業資訊安全, WAF 可符合並達到以下這幾個國際標準的資安合規性,協助企業達到資安稽核要求標準等等。
國際公認合規標準如下
OWASP TOP 10 ( Open Web Application Security Project ) 開放網路安全計畫,近年成為政府單位、企業公司資安指標,蒐集各式各樣網站的安全漏洞,並列出十大網站安全風險。
ISO 27001 是資訊安全管理系統(ISMS)是一套完整的國際標準,協助企業建立起企業組織的資訊安全管理系統機密性、完整性及可用性。協助風險評估、找出潛在問題,以及針對已知風險採預防措施,降低未來實際發生資料外洩的損失。
PCI DSS ( Payment Card Industry Data Security Standard ) 支付卡產業資料安全標準是支付卡產業安全標準協會所制定的標準,是基於保障持卡人資料安全的全球統一規範,保護客戶付款卡資訊的基本安全性標準。
HIPAA(Health Insurance Portability and Accountability Act)健康保險流通與責任法案是美國的法案,主要在保護個人健康資料的隱私安全。此法案要求醫療機構和相關組織保護醫療數據的安全。
NIST(National Institute of Standards and Technology)國家標準暨技術研究院提供了一系列資訊安全框架和標準,其中包括資料與數據保護相關的指南和建議。
-
裝了WAF ? 有什麼好處
到底安裝了 WAF,對企業有什麼好處? 最重要的主要可以保護企業網站程式,免於商譽受損! WAF 也符合多項資安標準,協助企業達到資安合規。
阻擋網站漏洞攻擊
網站各樣的應用程式,程式經過歷代人員修改、管理,難免會有邏輯缺失或漏洞,採用 WAF 能保護網站免於威脅。搭配原碼掃描與弱點掃描 ,修補程式漏洞有所依據,確保安全性。
保護企業名譽
企業商務經營與獲利逐漸移往網路,網站取代實體。若網站被駭客攻擊、遭受勒索病毒、客戶資料外洩,導致面臨網站關閉。直接影響銷售、品牌聲譽甚至網站存亡。
達到資安合規性
網站安全是資安合規中最基本的。所有合規性都要求至少擋住OWASP Top 10 的風險漏洞。同時也符合 ISO 27001、OWASP TOP 10、PCI DSS、NIST、HIPAA 等標準。
-
元盾提供多種 WAF 解決方案
元盾根據客戶不同的需求,提供兩種WAF的解決方案,提供客戶不同 WAF 解決方案並客製化挑選最適方案,保護網站。
DefenWall WAF 防火牆解決方案
DefenWall為元盾自主研發之WAF解決方案, WAF DefenWall 防火牆有效抵擋網站漏洞,且合乎國際合規標準ISO 27001、OWASP TOP 10、PCI DSS、NIST、HIPAA 等標準。定時針對網頁應用程式公布,隨時升級資料庫,以因應新型態攻擊發生。
了解更多 元盾 WAF DefenWall
dotDefender WAF 防火牆解決方案
dotDefender 為以色列領導國際品牌的網站保護防火牆軟體 ( Web Application Firewall )。dotDefender WAF 可保護伺服器上網站或網路服務,即使更新、更動或擴展程式碼,仍持續不間斷的防禦。提供企業級的資安防護、具進階且整合能力,降低企業之營運成本。
了解更多 dotDefender WAF -
想更了解WAF?嗎?請聯絡我們!