A WAF หรือ Web Application Firewall เป็นตัวอะไรสักอย่างที่จะช่วยให้ Web Application ปลอดภัย โดยการกรอง และ Monitoring HTTP – HTTPS traffic ระหว่าง Web App กับ Internet

แน่นอนว่า WAF นั้นไม่ได้ถูกออกแบบมาให้ป้องกันภัยคุกคามทั้งหมด ซึ่งโดยปกติแล้วเว็บแอพพลิเคชั่นไฟร์วอลล์นั้นจะป้องกันภัยคุกคามประภัย Cross – site forgery, cross – site – scripting (XSS), file inclusion, SQL injection และอื่น ๆ

ซึ่งแบบรูปการป้องกันนั่นให้นึกถึงเครื่องมือเสริมที่ทำงานร่วมกับอุปกรณ์ป้องกันอื่นแต่จำเป็นต้องมีเพราะช่องทางที่พวกแฮกเกอร์ส่วนใหญ่ใช้แฮกก็คือเว็บไซต์นี้แหละ

โดย WAF จะเปรียบเสมือน “โล่บาเรีย” ปกป้องในในต่ำแหน่งระหว่าง Web Application กับ Internet ในขณะที่  Proxy server เป็นตัวกลางในการ identity ป้องกัน Server จากการเปิดรับ User ตัว WAF จะป้องกันแบบ Reverse – proxy ก่อนที่ Clients เข้ามาใน Main Server

A WAF จะดำเนินการตั้งค่าตามนโยบายที่มีจุดมุ่งหมายเพื่อป้องกัน Malware ที่มาจากช่องโหว่ของ Web application ฟังชั่นหลัก ๆ ก็จะเป็นความสะดวก และรวดเร็วในการ Configure ค่า Policy ต่าง ๆ ได้ ตอบสนองต่อการโจมตีอย่างพวก DDoS ได้รวดเร็ว

ความแตกต่างระหว่าง WAF Blacklist และ Whitelist

Web Application Firewall แบบ Blacklist (Negative Security Model) ที่จะปองกันการโจมตีเท่าที่มันรู้ ให้นึกถึงนักเลงในผับที่มีอำนาจในการสั่งห้ามคนเข้าร้านหากไม่มีรหัสผ่าน

ส่วน เว็บแอพพลิเคชั่นไฟร์วอลล์ แบบ Whitelist  (Positive security model) จะเป็นการที่ admin เข้าไปตั้งค่า traffic ที่สามาเข้ามาในระบบได้ เปรียบเสมือนพนักงานตอนรับใน Exclusive party ที่จะตรวจดูคนที่จะเข้างานว่ามีชื่ออยู่ในลิสมั้ย?

ทั้ง Blacklist & Whitelist มีข้อดี และข้อเสียซึ่งนั่นแหละเป็นเหตุผลที่ต้องใช้งาน WAF ทั้ง 2 ชนิดนี้

WAF นั่นสามารถติดตั้งได้ 3 ทาง ซึ่งมีข้อดี และข้อเสียแตกต่างกันไปดังนี้

• A network-based WAF ที่เป็นแบบ Hardware : จะเป็นนำ WAF ไปติดตั้งที่ office ซึ่งสามารถลดความหน่วงได้ แต่มีราคาแพงมาก อีกทั้งยังต้องเพิ่ม Storage และดูแลรักษายาก
• A host-based WAF เป็นซอฟต์แวร์ที่รวมในแอพพลิเคชั่น : Solution นี้ราคาถูกกว่าอันแรก และมีความสามารถมากกว่า โดยช่วยลดความซับซ่อนในการติดตั้ง และค่าใช้จ่ายในการดูแลรักษา
• WAFs บนคลาวด์นำเสนอตัวเลือกที่เหมาะสมซึ่งใช้งานง่ายมาก : พวกเขามักจะเสนอการติดตั้งแบบเบ็ดเสร็จที่ทำได้ง่ายเพียงแค่เปลี่ยน DNS เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูล โดย Cloud – based WAF จะจ่ายเป็นรายเดือน ซึ่ง Tranfers งานให้ third party ที่ให้บริการ SaaS มีความสามารถในการอัพเดทภัยคุกคามใหม่ ๆ โดยที่เจ้าของเว็บไม่ทำอะไรเลยปล่อยให้ผู้บริการจัดการให้

ความแตกต่าง Software WAF กับ Appliance WAF

การปรับใช้ของ Web Application Firewall

– Reverse Proxy

WAF คือการ Proxy ใน application server ดังนั้นทุก ๆ traffic ผ่านไปยัง WAF โดยตรงเสมอ

– Transparent Reverse proxy

Reverse Proxy ด้วย transparent โหมดเป็นผลทำให้ WAF จะส่ง Traffic ที่ถูก filter แล้วไปยัง Web application ซึ่งเป็นการซ่อน IP ของ Web application server

– Transparent Bridge

เวลา HTTP traffic ส่งตรงมายัง Web application ผลลัพท์ก็คือทำให้ WAF transparent ระหว่าง device กับ server

Cloud WAF vs Hardware WAF

2 ชื่อที่กล่าวมาข้างต้นนั้นเป็น main หลักของ Web Application Firewall solution ซึ่งเป็น WAF ที่เป็นกล่องกับ WAF ที่อยู่บน cloud นั่นเอง

โดยการพิจารณาว่าอันไหนเป็น Solution ที่ดีที่สุดนั้นก็แล้วแต่ความต้องการของแต่ละองค์กร

Cloud WAFs จะให้แบบ SaaS (Security as a Service) ที่ให้บริการโดย Cloud Verdor ทั้ง Hardware or softwareซึ่งมีหน้าที่อัพเดทด้านปลอดภัยสามารถเข้าไปดูข้อมูลผ่านโมบายแอพ และเว็บไซต์

ประสิทธิภาพของ Cloud WAF ที่ดีกว่า Hardware WAF ในการป้องกัน DDoS เจาะลึกด้านความปลอดภัยผ่าน Real time Dashboard และแก้ไขปัญหาด้วยการวิเคราะห์อันชาญฉลาด

ด้วยความง่ายดายในการตั้งค่าดังนั้น Cloud WAF จึงเหมาะสำหรับองค์กรในการสเกลหน้าที่ที่มีความจำเป็นต้องยืดหยุ่น platform ที่ครอบคลุมมีประสิทธิภาพด้านคาวมปลอดภัยอีกทั้งยังต้อง Comply ข้อบังคับต่าง ๆ เช่น GDPR, PCI DSS, และ HIPAA.

ทั้งนี้ก็ขึ้นอยู่กับว่าแผนการชำระเงินตามการใช้งานสำหรับ Web application security firewall ที่ต้องประมาณไว้ร่วงหน้า

หากว่าเป็น WAF  ที่เป็นอุปกรณ์ทีม IT ขององค์กรจำเป็นจะต้องมีความรู้ด้าน Security ในการกำหนดตั้งค่าต่าง ๆ

ข้อมูลขององค์กรจะถูกไว้ใน Data canter ของผู้ให้บริการ SaaS ที่มีความปลอดภัยสูง ดังนั้นทีม IT จำเป็นต้องทำให้เครือข่ายในองค์กรมีปลอดภัยด้วยเช่นเดียวกันโดย WAFs ทำงานดังนี้

• เซ็ท rule ที่เป็น Requests ปกติ และ Requset ที่เป็นภัยร้าย
• ใช้เทคโนโลยี Machine Learning ในการเพิ่ม rule อัติโนมัติ หากมี malware ตัวใหม่เข้ามาในระบบ

ฟังชั้นของการทำงาน

• Negative Model (Blacklist based) – จะเป็นการพรีเซ็ท IP Traffic ที่เป็นอันตราย ออกแบบการป้องกันการโจมตีที่เข้ามาในเว็บไซต์ และช่องโหว่ต่าง ๆ ในเว็บ ซึ่งโมเดลนี้เป็นตัวเลือกที่ดีสำหรับ เว็บไซต์ และ เว็บแอพพลิเคชั่นที่ต้องออกอินเตอร์เน็ต โดยจุดเด่นของตัวนี้จะสามารถกัน  IP ที่เข้ามา DDoS ในเว็บ Eg. Rule for blocking all
• Positive Model (Whitelist based) – จะเป็นการอนุญาติเฉพาะ IP traffic ที่เข้ามาใช้ในเครือข่าย หรือเว็บไซต์ในองค์กรเท่านั่นซึ่งจะเป็นการบล็อก Traffic ภายนอกทั้งหมดแน่นอนว่าโมเดลนี้สามารถป้องกันมัลแวร์ได้ 100% แต่จะเหมาะสำหรับเว็บองค์กรที่เพียงแค่พนักงานใช้เท่านั้น
• แบบผสม/Hybrid Model (Inclusive model) – เป็นการนำทั้ง 2 โมเดลที่กล่าวข้างต้นนั้นมาทำงานร่วมกันขึ้นอยู่กับการกำหนดค่าทั้งหมด ดังนั่น hybrid firewalls เป็น Solution ที่ดีที่สุดทั้ง web application บนเครือข่ายภายใน และที่ ​public บนอินเตอร์เน็ต

ดังนั้น Web Application Firewall จึงเป็น Solution ที่เอาไว้ตอบโจทย์องค์กรที่มีเว็บไซต์ของตัวเอง (ซึ่งส่วนใหญ่ก็จะมีอย่างน้อย 1 เว็บ) เพราะส่วนใหญ่ Malware ต่าง ๆ จะมาผ่านทางเน็ตเวิร์คซึ่งในบางครั้งมันจะโดยที่เราไม่รู้ตัวว่าข้อมูลโดนล้วง หรือหน้าตาของเว็บไซต์เปลี่ยนไปด้วยซ้า

‍