網站變慢,不一定是因為使用者多,更多時候,是機器人在不停嘗試登入。WAF會在你的伺服器前,先看來者何人、做了什麼、速度如何,再決定放行。這篇會用最少的術語,帶你快速搞懂WAF是什麼、為什麼要用、怎麼用
什麼是WAF
WAF 是「網路應用程式防火牆」(Web Application Firewall) 的縮寫,是一種專門保護網站應用程式的安全工具,透過監控和過濾HTTP/HTTPS流量,來防止一些惡意攻擊,例如SQL注入、跨網站指令碼(XSS)等。 它在OSI中的應用程式層運作,像是網站的警衛,只讓安全的流量通過,並攔截可疑或惡意的請求,確保網站的安全與穩定。
為什麼使用WAF
WAF類似一道安全門,他可以在流量進入你的網站之前,先了解這個來源的訊息,再決定要如何處理,這麼一來不只可以提早攔截部分攻擊,讓大量的垃圾請求在一開始就被拒絕,也可以把資源留給正常的流量,進而提升網站速度,而且操作起來非常簡單,基本上只要透過cloudflare就可以讓規則在雲端生效,不需要對網站進行太多複雜的修改。
WAF使用教學
以cloudflare為例,可透過登入Dashboard 後,在「安全性」>「WAF」區塊進行設定,你可以建立自訂規則,或使用Cloudflare 提供的規則集,以下有幾個建議的設定 : 如果想使用cloudflare內建的規則的話,可以直接選擇基本安全模式,或著受管規則,就可以輕鬆處理最常見的機器人流量了。如果打算給自己的wordpress自訂規則的話,建議對登入頁面的連線做rate limit或是,這樣在短時間內接收到相同來源的請求時,就會自動拒絕,之後可以再根據自己的需求調整對XML-PRC或是網路爬蟲的規則。
受管規則(Managed Rules):由 Cloudflare 維護的攻擊防護清單,會依趨勢更新,你只需要打開。
Bot Management:用行為與指紋分辨好/壞爬蟲,降低假流量干擾。
白名單:明確允許的來源或服務,通常用在金流、簡訊、ERP 之類的必要對接。
灰度(僅記錄/模擬):先不真的封鎖,只記錄會被打到的流量,調整完再切正式。
網站優化 / WordPress 技術協助
提供 WordPress 架站、搬家、技術諮詢等服務,如有相關需求,隨時歡迎聯繫。
