目錄

Web 應用程式防火牆 (WAF) 與下一代防火牆 (NGFW) 有何差異?

目錄

防火牆 是一項重要的技術,可監控並過濾輸入或輸出的網際網路流量,最終目的是防範威脅並防護敏感資料外洩。企業和組織仰賴這些裝置持續可靠地運作,以便確保重要資源不受滲透。

防火牆有許多種類,每種類型都有其功能和用途。在本文中,我們將比較 Web 應用程式防火牆 (WAF) 與下一代防火牆 (NGFW),然後探討將它們納入全面的安全性解決方案的方法。

 

什麼是 Web 應用程式防火牆 (WAF)?

Web 應用程式防火牆 (WAF) 是一種類型的防火牆,可理解 Web 應用程式與網際網路之間較高通訊協定層級 (HTTP 或第 7 層) 的傳入流量。它能夠在 Web 應用程式和 Web 伺服器接受惡意請求之前,偵測出惡意請求並對其作出回應,從而為企業提供額外的安全層級。

使用 WAF 保護 Web 應用程式時,您通常會根據特定條件定義允許、封鎖或監視 Web 請求的規則。例如,您可以指定需要封鎖來自特定 IP 的所有傳入請求,或僅封鎖包含特定 HTTP 標頭或漏洞的請求的規則。如果您只想監控流量,您可以設定計數某些端點的監控程式。這種彈性可讓安全管理員快速記錄所請求的內容,並在發生事故和危害時阻止未經授權或不想要的請求。

由於 WAF 能夠瞭解更高層級的流量,因此能夠阻擋 Web 應用程式攻擊 (還有其他優點)。其中許多攻擊與 OWASP Top 10 名單密切相關,包括跨網站指令碼編寫 (XSS) 攻擊、SQL 插入、拒絕服務 (DoS) 以及洩漏憑證或不安全資訊。

 

什麼是 NGFW?

下一代防火牆 (NGFW) 是一種應用程式防火牆,結合了傳統網路防火牆和網頁應用程式防火牆的最佳功能。它通常會扮演防火牆的角色,透過檢查網路層封包來封鎖進入的請求,但它也有額外的檢查功能,可以開啟新的方式來封鎖私人網路中不想要的流量。

其中一些功能涉及 TLS 檢查和終止、入侵偵測和防護、威脅情報,以及根據流量內容或 URL 設定進階過濾規則的能力。這種彈性的主要好處在於,可讓安全管理員處理更先進的情境,並阻擋源自協調攻擊媒介的更複雜威脅。

現在您已瞭解 WAF 和 NGFW 背後的基本概念,我們將解釋它們的異同。

 

WAF 與 NGFW 的異同

可以說 WAF 和 NGFW 有一點重疊。它們都採用規則和政策引擎來過濾進入的流量,並根據特定條件採取行動。這兩種軟體目前都比較容易執行,而且根據供應商所提供的產品,您不需要購買專用硬體就能享受這些功能。

您可能會認為它們會重疊,因為它們都是應用層通訊協定 - 特別是第 7 層。沒錯您可以將 NGFW 視為傳統防火牆的延伸,它新增了處理來自 OSI 第 3-4 層和第 7 層流量的能力,並利用這些資訊在流量到達更接近應用程式的內層之前採取行動。

它們的主要差異在於核心責任模式和整體能力。NGFW 可捕捉更多的網路流量情境,因此可在傳入的攻擊到達網路層之前加以預防。它們也可以結合威脅情報引擎來協助決策過程。另一方面,WAF 只限於應用程式層,因此它們專門防止常見的網頁式攻擊,例如 XSS 和 SQL 插入。WAF 不能用作網路的主要防火牆,但卻是保護暴露於網際網路的 Web 應用程式的理想選擇。

 

何時使用 WAF vs. NGFW

您希望使用 Web 應用程式防火牆 (WAF) 的原因如下:

  • 它們可防止針對應用程式層的攻擊。WAF 可以檢查應用程式層流量,也有能力防禦常見的應用程式層攻擊。例如 SQL 插入、XSS、DDoS 以及 OWASP Top 10 名單上的其他項目。
  • 他們可以幫助您符合合規性需求。例如,PCI DSS 討論了 WAF 如何結合安全編碼實務,協助滿足 需求 6 的選項 2

下一代防火牆 (NGFW) 解決方案可同時防禦網路和應用程式範圍的攻擊。它們的主要特徵是

  • 它們可以監控許多層 (OSI 3-4 和 7)。這可讓他們更好地瞭解背景和洞察攻擊類型。例如,他們可以確定每個封包針對的應用程式,並設置額外的控制。因此,NGFW 可用作主要防火牆。
  • 它們包含複雜的工具和功能。NGFW 可以利用內部或外部服務來預防攻擊。例如,它們可以載入威脅情報資料,並根據新的更新自動重新配置規則。
  • 它們可以檢查 SSL 流量。NGFW 可以充當 SSL 終止代理,因此可以在加密流量抵達目的地之前檢查傳入和傳出的加密流量。您可以在 這篇相關文章中閱讀更多關於此功能的資訊。

現在您對何時使用 WAF 與 NGFW 有了相當的了解,讓我們來看看如何同時使用兩者來提供全面而縱深的防禦解決方案。

 

WAF 和 NGFW 如何互補?

由於 WAF 專門用於保護 Web 應用程式流量,因此是保護 Web 伺服器的理想選擇。不過 WAF 並不是全面安全性的終極解決方案,因此最好能將 WAF 與 NGFW 結合使用。

理想的整體防禦策略是配置 WAF 以防範 OWASP Top 10 攻擊,並由 NGFW 擔任傳統網路防火牆,能夠在某些攻擊抵達 WAF 之前偵測並加以防範。使用 IDS/IPS 和威脅建模等先進功能,NGFW 可以濾除大量攻擊,並將其餘部分留給 WAF 來處理。

 

客戶在尋找 Web 應用程式安全解決方案時應考慮的事項

在尋找 Web 應用程式安全解決方案時,您應該考慮幾項嚴重性因素。首先,您需要一個值得信賴且可靠的廠商,提供一套完整的工具和服務來保護您的 Web 應用程式。Palo Alto Networks 就是這樣一家供應商,它提供一套全面且容易使用的防火牆,包括 NGFW 以及內建 WAF 的 網路應用程式與 API 安全平台

第二,您需要優秀的文件和出色的技術支援。開發人員和安全管理人員都仰賴參考文件,這樣他們才能瞭解如何正確設定遵守其安全政策的防火牆。文件必須是最新、準確且容易取得的,如此才能有效率地實作收到的要求,並將設定錯誤的風險降到最低。Palo Alto Networks docs 網站 是一個強大且容易導覽的開發人員文件網站,深入詳盡的列出各項功能、設定方法以及相容性的版本資訊。

 

WAF vs NGFW 常見問題

Web 應用程式防火牆 (WAF) 旨在透過過濾和監控 Web 應用程式與網際網路之間的 HTTP/HTTPS 流量來保護 Web 應用程式。它們專注於偵測和防護 SQL 插入、跨網站指令碼編寫 (XSS) 等攻擊,以及其他應用程式層威脅。相較之下,下一代防火牆 (NGFW) 將傳統的防火牆功能 (例如封包過濾) 與入侵防護、深度封包檢查和應用程式感知等進階功能結合,提供更廣泛的網路安全性,以防範各種網路威脅。
WAF 的主要用例是保護網路應用程式和 API 免遭應用程式層的攻擊和漏洞,例如 SQL 插入、跨網站指令碼編寫和針對應用程式的 DDoS 攻擊。NGFW 則是用來保護整個網路的安全性,提供全面的防護來對抗網路層級的威脅、管理流量,以及在多層網路中強制執行安全性政策。
WAF 和 NGFW 可以而且通常應該一起使用,以提供分層安全性。NGFW 提供廣泛的安全性功能來保護網路,而 WAF 則專門針對網路應用程式增加了一層防禦。同時使用這兩項功能,可確保全面的安全性,對抗以網路為基礎的威脅和應用程式層的攻擊,提升整體安全性。
WAF 更擅於偵測和減緩應用程式層的威脅,例如 SQL 插入、跨網站指令碼編寫(XSS)、遠端檔案包含,以及其他針對 Web 應用程式的漏洞。NGFW 雖能有效對抗許多網路威脅,但不擅長應用層 HTTP/HTTPS 流量的深度檢測,而這正是 WAF 的強項。
組織應該考慮其特定的安全性需求和風險設定檔。如果他們的主要考量是保護網路應用程式不受應用程式層攻擊,WAF 可能是最適當的選擇。若要更廣泛的網路安全性,包括防禦惡意軟體、入侵嘗試和未經授權存取等各種威脅,則 NGFW 更為適合。在許多情況下,同時實作這兩個解決方案可提供最全面的保護。
相關內容
什麼是 Web 應用程式和 API 保護?
雲端原生開發中大量使用的 API 可以輕鬆修改,讓開發人員不必從頭開始製作每一個 API。但是,要確保 Web 應用程式和 API 的安全性,您必須要有一套完整的保護機制。
您需要知道的 Web 應用程式安全檢查點資訊
CNAPP 將保護應用程式和 API 的先進 WAF 功能與其他關鍵工具 (例如 IaC 掃描、勢態管理、權限管理) 相結合...
Web 應用程式與 API 安全解決方案
隨著網路應用程式的演進,您的攻擊面也在不斷擴大,產生新的複雜性和漏洞。如果您沒有保護您的 Web 應用程式和 API,您就沒有保護您的 ...
引進頻外 Web App 和 API 安全性
Web 應用程式漏洞和不安全的 API 可能會導致數百萬美元的安全事故,但有一個解決方案不會影響應用程式效能。

取得最新資訊、活動邀請,以及威脅警示