WAF｜網站應用程式防火牆｜Skycloud

WAF 網站應用程式防火牆是一種部署在網站前端的防護系統，可以保護並檢查和阻擋惡意的 HTTP 請求，因此 WAF 能保護網站免受應用層攻擊和資料外洩的風險。

➤WAF是什麼
 ➤WAF常用來防禦的攻擊類型
 ➤WAF 防火牆運作原理
 ➤WAF 生活情境比喻
 ➤WAF 如何保護網站

WAF是什麼

　WAF 網站應用程式防火牆 (Web Application Firewall, WAF)，WAF 是一種專門用來保護網站和應用程式的防火牆，WAF 會檢查並過濾進出 HTTP/HTTPS 的流量，防止利用網站應用程式已知漏洞的攻擊，阻擋像是 SQL Injection、跨站腳本(XSS) 或其他漏洞利用...等常見的網站攻擊。

　「WAF 網站應用程式防火牆」主要著重在 OSI 模型第七層應用層 Application Layer 的安全防護，因為 WAF 處理的是 HTTP/HTTPS 等應用層協定的資料內容，而不是僅僅依據來源、目的位址或端口號進行封鎖。

　也就是說，WAF 主要的用途就是攔截和預防常見的「網站應用層攻擊」，其中就包含常見的 OWASP Top 10 攻擊類型，以及像 CC 攻擊這種針對 HTTP 層的 DDoS 攻擊。

WAF常用來防禦的攻擊類型

　WAF 是保護應用層攻擊的防火牆，其常見的防禦類型如以下。

【OWASP Top 10 攻擊】

OWASP 是應用程式常見十大威脅，其 WAF 防禦如下。

SQL Injection (SQL 注入)：惡意修改查詢語句取得資料庫資料。
XSS (跨站腳本攻擊)：插入惡意 JavaScript 竊取 Cookie 或操作使用者瀏覽器。
文件上傳漏洞利用：上傳惡意腳本檔案進行遠端控制。
Command Injection (命令注入)
CSRF (跨站請求偽造)
不安全的反序列化
敏感資料外洩
以及其他 OWASP Top 10 所涵蓋的漏洞類型

【CC攻擊】

屬於 HTTP Flood 類型的 DDoS 攻擊
攻擊者不斷發送大量正常格式的 HTTP 請求(GET/POST)，用來耗盡伺服器資源。
WAF 可以透過速率限制、驗證機制、行為分析來緩解。
備註：
CC 攻擊雖然屬於應用層 DDoS，但並非所有 DDoS 都能用 WAF 擋，對於網路層攻擊需要其他防護。

【其他常見 Web 攻擊】

路徑遍歷 (Path Traversal)
XML External Entity (XXE) 攻擊
Session 劫持相關請求
API 濫用 (API 防護)，例如暴力破解 API 金鑰或爬蟲濫用。

　雖然 WAF 用來防禦應用層的惡意流量，不過對於大量消耗頻寬或網路層(非應用層)的 DDoS攻擊，就需要搭配防禦型 CDN、DDoS 防護設備或雲端防禦服務才能有效抵擋。

WAF 防火牆運作原理

　WAF 防火牆位於使用者和網站伺服器之間，所有進出網站應用程式的流量都會先通過 WAF，再由 WAF 進行分析和過濾，確保惡意流量被攔截，並且合法流量才能進入網站。

攔截流量：請求先送到 WAF，不直接進伺服器。
檢查內容：分析 URL、參數、Header、Body 等，看有沒有惡意特徵。
比對規則：利用黑名單、白名單、行為分析等方式判斷是否安全。
處理結果

惡意流量：阻擋、驗證或丟棄
合法流量：轉送到網站伺服器

WAF 生活情境比喻

　現在我們用兩個生活情境來比喻 WAF 的運作情況，讓讀者更容易理解。

情境一：高級社區門禁系統

社區 (網站伺服器) 有一道門禁 (WAF) ，所有訪客都必須經過這道門才能進入。

門禁會檢查訪客身份 (IP、Cookie) 、訪客名單 (白名單) 、訪客行為 (是否一次帶太多人進來) ，如果訪客身份可疑 (惡意請求) 或行為異常 (大量重複請求) ，門禁會立刻鎖門、要求刷卡驗證 (Captcha) 或直接拒絕，只有符合規範的訪客 (合法流量) 才會放行到社區內的住戶 (網站資源) 。