Skip to content Skip to navigation Skip to footer

WAF 與防火牆:Web 應用程序和網路防火牆

在網路攻擊和數位創新更加先進的現代,企業必須瞭解當前面臨的威脅,以及安全防禦機制阻擋的危險。尤其需要瞭解防火牆,因為網站應用程式防火牆和網路防火牆可為組織抵禦不同類型的攻擊。因此,瞭解網路防火牆與應用程式防火牆有什麼不同,以及如何抵擋網站攻擊與更廣泛的網路攻擊是很重要的。

傳統上,企業使用網路防火牆保護資料與使用者,但由於此方式應變能力與透明度不足,難以防範現代的安全威脅。但隨著自攜裝置 (BYOD)、公共雲端和軟體即服務 (SaaS) 等解決方案的用量的提升,企業需要 為安全策略增添網站應用程式防火牆 (WAF)。這能提高針對網站應用程式攻擊的防護能力,這些應用程式儲存在遠端伺服器上、透過網際網路以瀏覽器介面提供,是駭客容易下手的目標。

 

瞭解應用程式與網路層防火牆之間的差異

WAF 針對超文本傳輸通訊協定 (HTTP) 流量,從而保護網站應用程式。而標準防火牆則是在外部和内部網路流量之間形成一道屏障。

WAF 位於外部使用者和網站應用程式之間,分析所有往來的 HTTP 通訊。接著,它會偵測並攔截惡意請求,防止惡意請求接觸使用者或網站應用程式。 因此,WAF 能保護任務關鍵性網站應用程式和網站伺服器,避免遭受零時差威脅和其他應用程式層級的攻擊。這點隨著企業擴展到新的數位方案越發重要,因為這些方案可能讓新的網站應用程式和應用程式開發介面 (API) 容易遭受攻擊。

網路防火牆可防止未經授權存取受保護的區域網路,進而降低遭受攻擊的風險。其主要目的是將安全區與低安全區分隔開來,並管控兩者之間的通訊。少了這層防護,外部裝置將能存取任何具有公開網際網路通訊協定 (IP) 位址的電腦,並可能有遭受攻擊的風險。

網站應用程式防火牆與網路防火牆的對照圖

應用程式流量與網路流量

傳統網路防火牆可減少或防止未經授權地存取私人網路。防火牆規則會規定可連入的流量,並封鎖所有其他的連入嘗試。此方式能阻止像是來自未經授權使用者的以及來自低安全區的使用者或裝置的攻擊的網路流量。

WAF 則針對應用程式流量進行管控。其能保護 HTTP 流量、超文本傳輸安全協定 (HTTPS) 流量、以及網路中面向網際網路區域中應用程式的安全。此功能可以協助企業對抗如跨網站指令碼 (XSS) 攻擊、分散式阻斷服務 (DDoS) 攻擊和 SQL 注入攻擊等威脅。

第 7 層防護與第 3、第 4 層防護

應用程式層防火牆與網路層防火牆在技術上的關鍵差異,在於各自運作的安全層級。這些層級由開放系統互連 (OSI) 模型定義,描述並標準化電信和運算系統內的通訊功能 

WAF 在 OSI 模型第 7 層進行攻擊防護,也就是應用程式層級。這包括針對 Ajax、ActiveX 和 JavaScript 等應用程式進行的攻擊,以及 cookie 竄改、SQL 注入和 URL 攻擊。網站應用程式通訊協定 HTTP 和 HTTPS 也在其目標之中。這些協定被用來連接網頁瀏覽器和網站伺服器 

舉例來說,第 7 層 DDoS 攻擊會將大量流量傳送到伺服器層,該層級會生成網頁並回應 HTTP 請求。WAF 可做為反向代理來對應此攻擊,保護目標伺服器不受惡意流量影響,並篩選請求以找出 DDoS 工具的使用跡象 

網路防火牆在 OSI 模型第 3 層和第 4 層運作,以保護資料傳輸和網路流量。這些包括針對網域名稱系統 (DNS) 和檔案傳輸通訊協定 (FTP)、以及簡易郵件傳輸通訊協定 (SMTP)、安全殼層 (SSH) 和 Telnet 的攻擊。

網站攻擊與未經授權存取

WAF 解決方案可保護企業免受針對應用程式的網路攻擊。少了應用程式防火牆,駭客將能透過網站應用程式漏洞,滲透進入更大範圍的內部網路。WAF 可保護企業免於常見的網路攻擊,例如:

  • 直接阻斷服務: 透過大量網際網路流量,試圖癱瘓網路、服務或伺服器。其目的是耗盡目標資源。由於流量是否惡意並非總能輕易明顯區分,造成防護上的困難。
  • SQL 注入攻擊: 一種注入攻擊方式,可讓駭客執行惡意 SQL 陳述式,進而控制網站應用程式背後的資料庫伺服器。如此一來,攻擊者將可繞過網頁身份驗證和授權,並檢索 SQL 資料庫,然後新增、修改和移除內部檔案。網路罪犯可利用 SQL 注入攻擊存取顧客資訊、個人資料和智慧財產。2017 年,這種攻擊被列為 OWASP 十大威脅網站應用程式安全性的首要威脅。
  • 跨網站指令碼 (XSS): 一種網頁安全漏洞,可讓攻擊者侵入使用者與應用程式的互動過程。它讓攻擊者得以繞過同源政策的限制,該政策被用於隔離不同網站。因此,攻擊者可假冒真實使用者身分,並存取他們經授權的資料和資源 

網路防火牆可防範未經授權的存取和進出網路的流量。這些防火牆可以阻擋針對連網裝置與系統的整個網際網路的攻擊。常見網路攻擊的範例包括:

  • 未經授權的存取:未經許可存取網路的攻擊者。此手法通常是透過竊取憑證和侵入帳號來達成。這和有些人使用較弱的密碼、社交工程攻擊和內應威脅有關。
  • 中間人 (MITM) 攻擊: 攻擊者攔截網路與外部網站之間或網路內部的流量。這通常是因為使用不安全的通訊協定,使駭客得以竊取傳輸中的資料,並取得使用者憑證進而竊取使用者帳號。
  • 特權提升: 攻擊者取得網路存取權限後,透過特權提升進一步深入系統。此手法也能橫向拓展,獲得對相鄰系統的存取權限;或者垂直拓展,獲得相同系統中更高的存取權限。

選擇應用程式或網路防火牆

標準網路防火牆和 WAF 可防範不同類型的威脅,因此選擇正確的解決方案至關重要。如果僅有網路防火牆,企業將無法防範針對網頁的攻擊,這些攻擊只能透過 WAF 功能提供防護。因此,少了應用程式防火牆,將導致企業網路門戶大開,可能遭受針對網站應用程式漏洞的攻擊。不過,WAF 無法防範網路層的攻擊,因此應搭配網路防火牆使用,而不是取而代之 

網站和網路解決方案有各自的適用層級,可為不同類型的流量提供防護。所以,它們不是相互競爭,而是相輔相成。網路防火牆通常用來保護更廣泛的流量類型,而 WAF 則處理傳統方法無法涵蓋的特定威脅。因此,兩者兼備是較明智的選擇,尤其是在企業作業系統與網路密不可分的情況下。

比起從兩者之中選擇一種,真正困難之處在於選擇最符合商業需求的正確 WAF 系統。WAF 應搭載硬體加速器,可監控流量並阻擋惡意嘗試、具備高度可用性。並可隨著業務成長擴充以維持效能。

新一代防火牆與 WAF 及網路防火牆的比較

為每個安全層級選購獨立的防火牆,既昂貴又繁瑣。因而企業會採用新一代防火牆 (NGFW) 這種全方位解決方案。 NGFW 通常會結合網路防火牆和 WAF 的功能,打造集中管理系統。同時,它也提供安全性規則的額外情境,這對於保護企業免受現代安全威脅至關重要 

NGFW 是以情境為基礎的系統,利用像是使用者身份、時間和所在位置等資訊,進一步確認使用者身分是否屬實。這些新的詳細資訊能讓企業能更深入地掌握使用者存取權限,進而制定更明確、更聰明的決策。 這些方案同時也具備防毒、防護惡意軟體、入侵防護系統以及 URL 過濾等功能。這可簡化並改善安全性規則的有效性,以因應企業所面對的日益複雜的威脅。

對數位安全有單一全面的檢視瞭解通常比較簡單且更具成本效益。不過,有一點非常重要的是,必須確保 NGFW 涵蓋網路和網站應用程式保護的所有基礎。WAF 在保護網站應用程式免受程式碼注入、Cookie 簽署、自訂錯誤頁面、請求偽造和 URL 加密的影響方面扮演特定的角色。因此,NGFW 可能必須與 FortiWeb 之類的專用 網站應用程式防火牆搭配使用。

Fortinet 可保護任務關鍵性網站應用程式,避免遭受針對已知和未知漏洞的攻擊。我們的 FortiWeb 解决方案可因應企業的網站應用程式的快速發展,以確保每次部署新功能、公開新的網路 API 以及更新現有應用程式時,企業皆能受到保護。

從 DDoS 保護和通訊協定驗證到應用程式攻擊特徵、機器人緩解和 IP 信譽,FortiWeb 為企業提供全面性防護,因應所有的安全威脅。此外,它還運用機器學習來自動建立並維護正常使用者行為的模型,藉此辨識正常和惡意流量,免去大多 WAF 需要的費時人工作業。

如需瞭解有關 Fortinet 網路防火牆與 WAF 比較的更多詳細資訊,請參見有關 WAF 與 IPS 的內容簡介