網頁應用程式防火牆

網頁應用程式防火牆（英語：Web Application Firewall，縮寫：WAF）是一種特定形式的應用程式防火牆，用於過濾、監視和阻斷通過網頁服務的HTTP流量。透過監察HTTP流量，它可以防止利用網頁應用程式已知漏洞的攻擊，例如SQL 注入、跨網站指令碼(XSS)、檔案包含和不正確的系統組態。 ^[1]

歷史[編輯]

網站應用程式防火牆在 1990 年代後期開始發展，當時伺服器攻擊變得越來越普遍。

早期版本的 WAF 由Perfecto Technologies及其 AppShield產品開發^[2]，該產品針對電子商務市場並防止可能造成漏洞的字元輸入，如：'#（在SQL注入攻擊中常見）。 2002 年，為了使 WAF 技術更易於使用開源計畫ModSecurity ^[3]成立。ModSecurity基於 OASIS Web 應用程式安全技術委員會 (WAS TC) 公佈的漏洞，最終確定了保護 Web 應用程式的核心規則集。 2003 年，他們結合了網路應用程式安全計畫(OWASP) 的前十名和每年更新的漏洞表制定出一個業界標準。 ^[4] ^[5]

從此以後，市場蓬勃發展，尤其在金融界的信用卡詐欺預防。隨著支付卡行業資料安全標準(PCI DSS) 的發展，使得持卡人的數位資料更加安全。根據 CISO 雜誌，WAF 市場預計到 2022 年將增長到 54.8 億美元。 ^[6]

簡介[編輯]

網路應用程式防火牆是一種特殊的應用程式防火牆，專門用於網路應用程式。它部署在 Web 應用程式前端並分析網路的雙向 (通常是HTTP) 流量，使它能夠檢測和阻止任何惡意內容。此功能可以在軟體或硬體中實現，在特殊裝置中執行，或者在執行的一般作業系統的典型伺服器中實現。它可能是一個獨立的裝置或包含在其他網路組件中。^[7]換句話說，WAF 可以是一種虛擬或物理裝置，防止網路應用程式中的漏洞被外部使用。這些漏洞可能是因為程式本身過舊或程式設計缺陷。 WAF 通過阻擋符合規則集（也可以稱作過濾條件）的流量來解決這些程式缺陷。

以前未知的漏洞只能通過滲透測試或漏洞掃描器發現。網路應用程式漏洞掃描程式，也稱為網路應用程式安全掃描程式，在SAMATE NIST 500-269 中定義為「是一種檢查網路應用程式是否存在潛在安全漏洞的自動化程式。除了搜尋特定網路應用程式的漏洞外，這些工具還可以檢查程式錯誤。」 ^[8]網路應用程式漏洞掃描程式可以在應用程式中對程式進行更正，也可能需要針對特定的網路應用程式漏洞應用自訂策略以提供臨時緊急修復（稱為虛擬修補程式）。

WAF 並不是安全解決方案的萬靈藥，而是旨在與其他網路外圍安全解決方案（例如網路防火牆和入侵防禦系統）結合使用，以提供整體防禦策略。

種類[編輯]

儘管稱呼可能不同，但 WAF 基本上可以分為三種。根據 NSS Labs 的分類，有三種：透明網橋、透明反向代理和反向代理。 ^[9] 「透明」是指 HTTP 流量直接傳送到網頁應用程式，因此 WAF 在客戶端和伺服器端之間是透明的。這與反向代理相反，在反向代理中，WAF 充當代理者，客戶端的流量直接傳送到 WAF。然後，WAF 將過濾後的流量轉傳到 Web 應用程式。這樣有一些好處，例如 IP 遮罩，但可能有一些缺點，例如傳輸延遲。

供應商[編輯]

許多商業 WAF 具有相似的功能，但主要差異通常涉及特定環境中的使用者介面、部署選項或要求。著名的供應商包括：

本機服務[編輯]

Barracuda Networks WAF
思傑Netscaler 應用防火牆
F5 BIG-IP 進階 WAF（以前稱為 ASM）
Fortinet FortiWeb
Imperva SecureSphere
Penta 安全系統（頁面存檔備份，存於網際網路檔案館）WAPPLES
Qualys WAF
Radware 應用牆
羅德與施瓦茨網路安全的WAF

雲端[編輯]

Akamai Technologies Kona
阿里雲
亞馬遜網路服務AWS WAF
Barracuda Networks CloudGen WAF 和 WAF 即服務
CDNetworks
Cloudbric
Cloudflare
Fortinet FortiWeb
F5 Silverline
Fastly
IBM Cloud網路服務 WAF
Imperva Incapsula
帶有 WAF 的Microsoft Azure 應用程式閘道器
Oracle 雲基礎設施WAF
Qualys WAF
Radware
羅德與施瓦茨網路安全WAF
Sucuri防火牆
VMware NSX 進階負載平衡（以前稱為 Avi Vantage）

雲端原生[編輯]

Palo Alto Networks Prisma Cloud WAAS（網路應用程式和 API 安全）

開源[編輯]

ModSecurity

參見[編輯]

應用防火牆
支付卡行業資料安全標準(PCI DSS)
網路應用程式
軟體即服務(SaaS)
電腦安全
網路安全
應用程式安全

參考[編輯]

^ Web Application Firewall. TechTarget. [10 April 2018]. （原始內容存檔於2021-10-21）.
^ Perfecto Technologies Delivers AppShield for E-Business - InternetNews.. www.internetnews.com. [2016-09-20]. （原始內容存檔於2016-12-20）.
^ ModSecurity homepage. ModSecurity. [2022-09-05]. （原始內容存檔於2017-05-21）.
^ DuPaul, Neil. What is OWASP? Guide to the OWASP Application Security Top 10. Veracode. 25 April 2012 [10 April 2018]. （原始內容存檔於2022-05-17）.
^ Svartman, Daniel. The OWASP Top Ten and Today's Threat Landscape. ITProPortol. 12 March 2018 [10 April 2018]. （原始內容存檔於2022-09-05）.
^ Web Application Firewall Market Worth $5.48 Billion by 2022. CISO Magazine. 5 October 2017 [10 April 2018]. （原始內容存檔於2018-04-11）.
^ PCI Data Security Standards Council. Information Supplement: Application Reviews and Web Application Firewalls Clarified ver. 1.2 (PDF). PCI DSS. PCI DSS. October 2008 [2022-09-05]. （原始內容存檔 (PDF)於2017-05-01）.
^ Paul E. Black; Elizabeth Fong; Vadim Okun; Romain Gaucher. NIST Special Publication 500-269 Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0 (PDF). SAMATE NIST. SAMATE NIST. January 2008 [2022-09-05]. （原始內容存檔 (PDF)於2016-12-30）.
^ TEST METHODOLOGY Web Application Firewall 6.2. NSS Labs. NSS Labs. [2018-05-03]. （原始內容存檔於2022-09-05）.

[1] Web Application Firewall. TechTarget. [10 April 2018]. （原始內容存檔於2021-10-21）.

[2] Perfecto Technologies Delivers AppShield for E-Business - InternetNews.. www.internetnews.com. [2016-09-20]. （原始內容存檔於2016-12-20）.

[3] ModSecurity homepage. ModSecurity. [2022-09-05]. （原始內容存檔於2017-05-21）.

[4] DuPaul, Neil. What is OWASP? Guide to the OWASP Application Security Top 10. Veracode. 25 April 2012 [10 April 2018]. （原始內容存檔於2022-05-17）.

[5] Svartman, Daniel. The OWASP Top Ten and Today's Threat Landscape. ITProPortol. 12 March 2018 [10 April 2018]. （原始內容存檔於2022-09-05）.

[6] Web Application Firewall Market Worth $5.48 Billion by 2022. CISO Magazine. 5 October 2017 [10 April 2018]. （原始內容存檔於2018-04-11）.

[7] PCI Data Security Standards Council. Information Supplement: Application Reviews and Web Application Firewalls Clarified ver. 1.2 (PDF). PCI DSS. PCI DSS. October 2008 [2022-09-05]. （原始內容存檔 (PDF)於2017-05-01）.

[8] Paul E. Black; Elizabeth Fong; Vadim Okun; Romain Gaucher. NIST Special Publication 500-269 Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0 (PDF). SAMATE NIST. SAMATE NIST. January 2008 [2022-09-05]. （原始內容存檔 (PDF)於2016-12-30）.

[9] TEST METHODOLOGY Web Application Firewall 6.2. NSS Labs. NSS Labs. [2018-05-03]. （原始內容存檔於2022-09-05）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]