Web Application Firewall(WAF) 網頁應用程式防火牆

一般軟體開發為確保軟體品質多半會導入相關的開發標準作為依循，藉以確保軟體完成後的品質，此方法一般即為 Software Development Life Cycle (SDLC)。而近年來資訊安全不斷受到重視，而許多專家學者亦呼籲預防勝於治療，進而倡導在軟體開發過程即納入資訊安全考量，此部分亦已有相關的標準或認證可供參考，諸如：Secure Software Development Life Cycle (SSDLC)與 Certified Secure Software Lifecycle Professional (CSSLP)。

近年在 Web 2.0 的風潮之下，各大網站經營者為提供給使用者更好的服務以及使用體驗，部署的網站應用程式也愈來愈多；然而這些網站應用程式往往為了搶時效提供服務，可能僅著重在功能測試，花費在程式開發安全的心力也就較少，間接導致網站應用程式的漏洞產生。而這些漏洞若遭惡意攻擊者發現並利用，諸如透過網頁掛馬、植入惡意程式/連結...等，則網頁應用程式的使用者就有可能受到危害。為避免這樣的情況發生，於是業界有了針對 OSI 第七層(Application Layer)過濾 http(s) 內容的網頁應用程式防火牆(Web Application Firewall, WAF) 產品，協助網頁應用程式開發者與管理者防範這些可能的漏洞。而依據 Web Application Security Consortium 組織所提出的關於 Web Application Firewall Evaluation Criteria(WAF評估準則)，WAF 必須具備能夠滿足這些條件才能夠稱之為 WAF，若以現今常見的一些網路安全弱點，諸如：SQL Injection、Cross-Site Scripting...等都必須能夠防範才能滿足WAF的評估準則。

若要進行 WAF 評估準則的評比，可透過 Web Application Security Consortium 所提供的 WAFEC Response Matrix 進行，透過此表格進行簡單的 Yes/No/NA 可以得知所挑選的WAF產品是否符合評估準則所需的標準。另外，在  Payment Card Industry Data Security Standard (PCI DSS) requirement 6.6 中亦要求金融相關業者需採用 WAF 或 Code Review 等設備，確保所提供的金融支付或相關服務安全。

目前國內較常看到的 WAF 相關產品則有以下幾項：

• Barracuda Web Applicatoin Firewall
• Fortinet FortiWeb
• iMPERVA Web Application Firewall