jojo932788888 wrote:
各位前輩們好,小弟有(恕刪)
提一點經驗供參考。
首先,Firewall不是WAF。
Firewall就只是單純Protocol/Port開關而已。
一個對外服務的Web Server,需要的基本資安產品,除Firewall以外,還需要
1.IDS/IPS
2.Anti-DDoS系統(比如cloudflare)
3.定期的最新弱點偵測掃描(比如每個月一次)
4.WAF
這些裡面,IDS/IPS跟WAF會有一些重疊的部份(因為IDS/IPS特徵碼,有些會涵蓋到WAF的部份,比如部份的SQL injection),但WAF會針對Web Server有更完整的保護。
尤其樓主的系統牽涉到金流,還有購物車等動態網頁,個人強烈建議WAF必備,不然惡意攻擊者鐵定會從http協定塞東西過來,然後剛好碰上你網站有適合的洞可以鑽的話,那就可能麻煩大了...
(漏洞是人寫出來的,最慘的是,寫的人通常不會發現自己已經寫出漏洞)
至於月費,便不便宜要看你WAF保護的能力。
好的WAF系統,如果又遇上流量大的組合,單價絕對不便宜。(樓上說一台要7位數字那是真的,當然授權到期續約另外算)
但要看你系統的架構,比如架在雲端的話,也是有機會低價用上高級WAF系統。
(比如一台WAF讓10~30台Web Server共用的架構)