網頁應用程式防火牆 (Web Application Firewall)

 

網路安全解決方案網頁應用程式防火牆 (Web Application Firewall)
簡介 | 特 色 | 效益 | Why LinuxYes | 適 用企業 | 相關方案 | 我要購買
簡 介

Internet 本身有數不清的網站提供豐富的資訊給ㄧ般有需求的使用者,然而多數網站擁有者卻不知進來的流量是善意的還是惡意的。惡意的流量基本上就是駭客使用程式攻擊 你的網站,想偷竊使用者帳密資訊或對資料庫進行注入攻擊偷取敏感資訊如信用卡資料,其結果造成資料外洩,網頁被竄改,對商家產生相當程度的影響。

網路無國界,其實攻擊更是來自世界各地。本地端攻擊也許可以向ISP反應,對攻擊來源IP做調查或阻擋,但跨國攻擊愈來愈 多,向國外反應,曠日費時,成效不佳。最好的方式就是查詢到來源IP及了解到其攻擊的方式,立即在防火牆做阻擋。如果不這樣做的話,一旦某一駭客發現程式 漏洞開始攻擊,就會一傳十,十傳百,然後在某一時間,發動分散式阻斷服務攻擊(Distributed Deny of Service),造成網站被癱瘓,損失慘重。一般人會認為分散式阻斷服務攻擊是偶一發生,其實不然。大部分駭客在發起大規模攻擊時,已經觀察你很久了。 他們會派出先鋒部隊做攻擊測試,確認有機可乘,然後再擬定策略,做更大規模的攻擊。所以只要發現來源 IP及網頁內容請求有問題,就要立即封鎖IP,讓自己的網站隱藏在駭客看不到的地方,減低日後被大規模攻擊。有些網站擁有者會找類似CDN的服務來過濾惡 意流量,看似簡單輕鬆,但如果不是真正分析惡意的http 請求,很難了解到網頁程式的漏洞,所以問題依舊存在。

網頁應用程式防火牆 (Web Application Firewall 簡稱 WAF) 就是分析http 的請求,配合攻擊特徵規則檢查來阻擋攻擊。以Apache server 為例,mod_security 模組,就是用來分析http請求,如果http 請求與攻擊特徵規則穩合,就產生403禁止訪問。當然有些時候程式本身的寫法,會有誤判的狀況,所以導入WAF時,要排除ㄧ些可能的誤判情形,最好是系統 上線前,就導入WAF 一起測試,等到規則調整到差不多,再一起上線。

但是畢竟Apache log 本身不易閱讀及統計,一般會將mod_security的 log 透過collector 集中到 一資料庫做統計及分析,並有一很清楚的看板來了解哪一個IP正在攻擊,下了何種惡意的http 請求,這時系統管理者就會查詢IP的國家出處,來判斷是否阻擋此IP。有些人會認為,這不是很麻煩,需要每天登入檢查,但是良好的資安管理絕對是持續性的 工作,一日不注意,就會讓駭客有機可乘。事實證明WAF 導入後,加上良好的監控及阻擋,可有效保護網站安全。


一般網頁應用程式主要有四種攻擊型態:

  • 參數長度的溢位注入
  • 特徵字元的注入
  • SQL注入
  • SOAP錯誤程式碼展開
ModSecurity 是一個Apache的模組,可以用來保障保障Apache的安全性,它使用了規則定義的方式來判斷HTTP請求是否合理, 如果違反規定,就給予阻擋,確保網站不被入侵。

使用ModSecurity的好處是程式設計師可以減輕調校程式安全的負擔,它就如同一道進入網站大門的檢查哨,任何不法的進入將會被隔絕於外。

特 色
ModSecurity特色

  • 即時收集監控機器的異常連結信息
  • Web管理介面將每台機器所受到的攻擊分類 (嚴重或是警告)
  • 可以依需求將違反規定的入侵,即時email通知系統管理人員,系統管理人員收到e-mail 後,可以立即在防火牆做設定,阻擋攻擊IP

web application firewall

Modsecurity管理介面登入

SQL Injection Attack

SQL Injection Attack 攻擊事件
 
效益

貴公司若選擇使用網頁應用程式防火牆, 可協助貴公司:

提高整體資訊安全
  • 網頁應用程式 防火牆可以協助企業提高網站安全,降低因為資安事件所造成的營運衝擊。
與現有防火牆做互補
  • 一般網站多數使用Apache架設,雖然有防火牆保護,但是針對80 port的攻擊及入侵卻無法有效阻擋。LinuxYes 的網 頁應用
    程式防火牆架設服務可以與客戶現有的防火牆做互補
Why LinuxYes

LinuxYes的網頁應用程式防火牆, 擁有下列優勢:

具有Web監控管理介面
  • 網管人員可以隨時透過管理介面了解網站是否受到攻擊。
與 Apache 做緊密結合
  • Apache 是目前最多人使用的網站應用伺服器,效能非常優越,如果可以導入網頁應用程式防火牆加強80 port 的安全性,
    那就更加完美了。
適用企業

任何重視資訊安全的公司或學校機關

相關方案

建議貴公司可再購買下列方案,搭配網頁應用程式防火 牆架設服務, 以紮好e化基礎:

我要購買

1. 直接購買:請至 LinuxYes 購物網站購買
2. Skype 線上客服:linuxyes.service Skype me
3. 直接與業務人員討論需求:請加 Line ID: @nbt9288h
4. 使用電子郵件詢問:Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它