Web Application Firewall คืออะไร? ทำไมเว็บต้องมี WAF
Web Application Firewall (WAF) คือ ระบบป้องกันที่อยู่หน้าเว็บแอปพลิเคชัน กรองและบล็อก HTTP Traffic ที่เป็นอันตราย เช่น SQL Injection XSS CSRF และ Bot Firewall ปกติป้องกัน Network Layer แต่ WAF ป้องกัน Application Layer (Layer 7) โดยเฉพาะ เว็บไซต์ที่เปิดสู่ Internet ทุกเว็บควรมี WAF ป้องกัน
ภัยคุกคามที่ WAF ป้องกัน
| ภัยคุกคาม | คำอธิบาย | ความร้ายแรง |
|---|---|---|
| SQL Injection | ฉีดคำสั่ง SQL ผ่าน Input ขโมย/ลบ Database | Critical |
| XSS (Cross-Site Scripting) | ฉีด JavaScript ขโมย Cookie Session | High |
| CSRF | หลอกให้ User ทำ Action โดยไม่รู้ตัว | High |
| File Inclusion | เรียกไฟล์ที่ไม่ควรเข้าถึง | Critical |
| DDoS (L7) | ส่ง Request จำนวนมากทำให้เว็บล่ม | High |
| Bot/Scraper | Bot ดูดข้อมูล สแปม | Medium |
| Brute Force | ลอง Login ซ้ำจนเจอ Password | High |
ประเภท WAF
| ประเภท | ตัวอย่าง | ข้อดี | ข้อเสีย |
|---|---|---|---|
| Cloud WAF | Cloudflare, AWS WAF, Akamai | ง่าย ไม่ต้องจัดการ Server | ค่าใช้จ่ายต่อเนื่อง |
| Appliance WAF | F5, Fortinet FortiWeb | Performance สูง ควบคุมเต็มที่ | ราคาแพง ต้องจัดการเอง |
| Software WAF | ModSecurity, NAXSI | ฟรี ยืดหยุ่น | ต้องตั้งค่าเอง ต้องมีความรู้ |
เลือก WAF Solution
- Cloudflare: ฟรี (Basic) / $20+/เดือน (Pro) ง่ายสุด มี CDN + DDoS Protection ด้วย
- AWS WAF: สำหรับ AWS Managed Rules ใช้ง่าย จ่ายตามใช้
- ModSecurity: ฟรี Open Source ใช้กับ Apache/Nginx ต้องตั้งค่าเอง
- F5 / FortiWeb: Enterprise Appliance Performance สูง ราคาแพง
WAF Mode
- Detection Mode: ตรวจจับและ Log แต่ไม่บล็อก ใช้ตอนเริ่มต้นดู False Positive
- Prevention Mode: ตรวจจับและบล็อก ใช้หลังจากมั่นใจว่า False Positive น้อย
- แนะนำ: เริ่มจาก Detection 1-2 สัปดาห์ ดู Log ปรับ Rule แล้วเปลี่ยนเป็น Prevention
WAF Best Practices
- เริ่มจาก Detection: เริ่ม Detection Mode ก่อน ดู False Positive แล้วค่อยเปลี่ยน Prevention
- OWASP Core Rule Set: ใช้ OWASP CRS เป็น Rule พื้นฐาน ครอบคลุม Top 10
- Custom Rules: เพิ่ม Custom Rule สำหรับ Application เฉพาะ
- Whitelist: Whitelist IP/Path ที่เชื่อถือ ลด False Positive
- Rate Limiting: ตั้ง Rate Limit ป้องกัน Brute Force DDoS
- Geo Blocking: บล็อกประเทศที่ไม่เกี่ยวข้อง ถ้าเว็บให้บริการเฉพาะไทย
- Monitor: Monitor WAF Log สม่ำเสมอ ดู Attack Pattern
- อัปเดต Rule: อัปเดต WAF Rule สม่ำเสมอ ป้องกันช่องโหว่ใหม่
- WAF ≠ ไม่ต้อง Patch: WAF ไม่ได้แทน Patch ต้อง Patch Application ด้วย
สรุป WAF — ปกป้องเว็บจากการโจมตี
WAF เป็นสิ่งจำเป็นสำหรับเว็บที่เปิดสู่ Internet ใช้ Cloudflare (ง่าย) หรือ ModSecurity (ฟรี) เริ่ม Detection Mode ใช้ OWASP CRS อัปเดต Rule สม่ำเสมอ หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
