WAF防火牆
WAF防火牆是什麼?抵禦OWASP十大安全風險|天矽科技網頁設計
WAF防火牆是什麼
WAF全名為Website Application Firewall 網站應用程式防火牆,它的作用在於抵禦惡意流量、保護網站主機與網站應用程式的安全,簡單來說就是網站的警衛、濾水器的濾網概念。
WAF利用監控網站傳輸的HTTP流量,對比病毒、惡意程式資料庫來過濾出可疑的流量,並將其惡意且可疑的流量擋在門外,保護網站不受到惡意的攻擊。
如果WAF是警衛、大樓是網站主機,WAF能辨識每一個住戶的身份,並讓住戶與訪客進入,將可疑的人士阻擋在外、禁止進入;如果WAF是濾水器的濾網、大樓是水杯,WAF能將水中的雜質過濾掉,讓乾淨的水流入我們的水杯中,讓我們健康的飲用。
為什麼要使用WAF
要進入網站的流量有很多種,無論是安全還是危險的,都會混雜在通過網站的流量之中,要知道,開放原始碼在網站上是所有人都能看到的,網站一旦被發現漏洞、被駭客盯上,就將成為被攻擊的目標!
如果我們的網站有進行購物、交易等金流行為,或是網站中有許多重要的資訊,例如會員資料、公司檔案、教育訓練資訊…等,就非常需要使用WAF的防護。
網站常見攻擊
資訊安全參考標竿OWASP (Open Web Application Security Project) 是目前政府與多數資安業者都會參考的指標,主要蒐集各種網站的安全漏洞,並歸納出容易攻擊且常見的網站弱點。
根據OWASP提供的2021十大網站安全風險排行榜顯示,前三名分別為:權限控制失效、加密機制失效及注入式攻擊,就以前三名來看,我們可以知道就算網站有加入了某些驗證機制,仍有可能出現安全風險。
2021 OWASP Top 10
- 權限控制失效 Broken Access Control
- 加密機制失效 Cryptographic Failures
- 注入式攻擊 Injection
- 不安全設計 Insecure Design
- 安全設定缺陷 Security Misconfiguration
- 危險或過舊的元件 Vulnerable and Outdated Components
- 認證及驗證機制失效 Identification and Authentication Failures
- 軟體及資料完整性失效 Software and Data Integrity Failures
- 資安紀錄及監控失效 Security Logging and Monitoring Failures (民調)
- 伺服端請求偽造 Server-Side Request Forgery (SSRF) (民調)
資料來源:OWASP_Top10
以上這十大安全風險是最常見的攻擊手法,不過安全風險不是只有這十種要留意,並且駭客的攻擊手法也不會就只有這幾種,他們的攻擊方式一直不停的在更新、進步、改變,我們只能加強使用防護機制、使用安全工具,並定期監控管理與技術更新加強防護。
不僅如此,不會有任何一種安全防護工具能夠保證100%的安全,我們要做好災害還原演練、經常性的資料備份,才有辦法承受當災害發生時,企業能如何應對。
更多資安新聞:iThome 資安新聞
天矽科技高階資安防火牆方案
天矽科技提供WAF的高階資安防火牆方案,每個月提供遭受攻擊的處理報告(下方有說明),單元說明如下:
※ 主機安全防護系統。
※ 7*24HR高階硬體防火牆。
※ Web ApplicationFirewall網路應用程式防火牆。
- Encoding (編碼攻擊)
- Header Tampering (標頭竄改)
- Path Traversal (路徑挖掘)
- SQL Injection (SQL隱碼注入)
- Cross Site Scripting (跨網站指令碼攻擊)
- Remote Command Execution (執行遠端命令)
- Probes (探針)
- Known Worms (已知蠕蟲)
- Compromised Servers (被盜用的伺服器)
- Spammer Bots (垃圾回應機器人)
- Bad User Agents (不良的使用者代理)
- Denial of Service (阻斷服務攻擊)
- Session Hijacking (會話劫持)
- Cookie Tampering (竄改Cookie)
攻擊處理報告
以下為捕夢網WAF每個月所產生之攻擊處理報告範例。
更多詳細的資訊安全方案,如弱點掃描、模擬攻擊、風險排除與設置專用主機…等,歡迎與天矽科技聯絡並了解喔!