Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

全新的 WAF 體驗

Loading...

A new WAF Experience

大約三年前,我們在儀表板瀏覽列的防火牆索引標籤中引入了多項功能,目的是「推出更加直觀好用的產品和服務」。也因為過去三年在擴展產品功能方面的努力,我們才想利用另一次機會以評估 Cloudflare WAF(Web 應用程式防火牆)的直觀性。

我們的客戶領先採用全新 WAF

網路安全格局日新月異;Web 應用程式類型成長快速;業界存在多種方法,可讓使用者了解 WAF 包含且能夠提供的內容。Cloudflare 不僅代理了企業應用程式,還有數百萬計的個人部落格、社群網站及小型企業商店。我們提供的各種產品涵蓋千變萬化的使用案例;但是,這些產品目前相當分散,因而主動保護規則並不明確。這促使我們思考如何推出更明確符合期望的產品,藉此向自家客戶提供支援以發揮 WAF 的最大價值。

幾個月前,我們聯絡了客戶並請他們回答一個簡單的問題:您認為什麼是 WAF 的一部分?為此,我們採用了一系列使用者研究方法,包括卡片分類、樹狀測試、設計評估及問卷調查。研究結果說明了我們客戶對 WAF 的看法、WAF 對他們的現實意義,以及 WAF 如何在使用案例為其提供支援。這啟發了產品團隊去擴展規模並深思(Web 應用程式)網路安全的含義,而不僅僅是 WAF。

根據數百位客戶的反饋,我們的使用者研究和產品團隊合作進行產品管理,以便重新構建網路安全體驗。我們對假設情況進行了檢驗並評估了設計概念的效度,以便建立反映出客戶心智模型的結構(或資訊基礎架構)。

這項新架構整合了防火牆規則、受管理規則及限速規則,成為 WAF 的一部分。由於能夠區分惡意和乾淨流量,全新 WAF 將致力於成為 Web 應用程式網路安全的一站式服務。

截至今日為止,我們的導覽列出現了下列變更:

  1. 防火牆重新命名為網路安全。
  2. 在「網路安全」下方,您現在可以找到 WAF
  3. 防火牆規則、受管理規則及限速規格目前位於 WAF 下方。
從現在開始,我們所謂的 WAF 就包括這三項要素。

而且,這些要素即將迎來一些重要更新。我們將在網路安全週推出進階限速規則,且每一位客戶都會免費取得一系列受管理規則,以便讓所有流量免受一些重要漏洞影響。最後,未來幾個月內,防火牆規則會移至規則集引擎,同時藉由全新規則集 API 加入更強大的功能。是否充滿期待?

客戶如何塑造 WAF 的未來

將近 500 位客戶參與這次的使用者調查研究,讓我們得以了解相關需求及使用情境。我們採用了四種研究方法,全部都以無主持人的形式進行;這表示世界各地的人們都能夠任選時間和地點遠距參與。

  • 在卡片分類中,參與者需要將導覽元素分組為對其有意義的類別。
  • 樹狀測試評估了提議的導覽結構,並將重點放在針對我們目標受眾執行時的狀況好壞。
  • 設計評估涉及使用任務型方法測量設計概念的效度和效用。
  • 調查問題則協助我們深入探究結果,並得出參與者的狀況。

這項四管齊下的研究結果顯示出下列 WAF 和網路安全的變更。

全新的 WAF 體驗

最終結果揭露了 WAF 屬於更廣泛網路安全類別的一部分,同時包括機器人、DDoS、API Shield 及 Page Shield。此目的地能讓您建立專屬規則(也就是防火牆規則)、部署 Cloudflare 受管理規則、設定限速條件並納入實用工具,以便保護您的 Web 應用程式。

使用所有方案的全部客戶目前都可以看到按如下方式整理的 WAF 產品:

  1. 防火牆規則可讓您封鎖或允許利用所有 HTTP 要求之要素的流量,以及由 Cloudflare 運算的動態欄位(例如機器人分數),藉此建立自訂、使用者定義的邏輯。
  2. 限速規則包括我們於 2018 年推出的傳統 IP 產品,以及後續適用於進階方案的 ENT 客戶進階限速(即將登場)。
  3. 受管理規則可讓客戶部署一系列由 Cloudflare 分析師團隊管理的規則。這些規則集納入了目前針對所有方案推出的「Cloudflare 免費的受管理規則集」,包括免費版,以及適用於所有付費方案的 Cloudflare 受管理、OWASP 實作及暴露憑證檢查。
  4. 工具則提供對 IP 存取規則、區域鎖定及使用者代理程式封鎖的存取權限。雖然這些產品仍受到主動支援,還是適用於可使用防火牆規則解決的特定使用案例。但是,為方便起見,其還是屬於 WAF 工具箱的一部分。

重新定義 WAF 體驗

格式塔設計原則表明「彼此接近的元素可視為具有類似功能或特徵」。除了客戶提供的意見之外,此原則更為我們的設計決策提供了依據。

檢閱研究回應後,我們理解了將儀表板設計為易於尋找網路安全產品的重要性,以及釐清特定產品彼此相關或協同合作的必要性。

更重要的是,該頁面必須:

  • 顯示我們支援的每種規則,即防火牆規則、限速規則及受管理規則
  • 呈現每種類型的用量
  • 讓客戶能夠加入全新規則並管理現有規則
  • 讓客戶得以使用現有的「拖放」行為將規則重新排序
  • 擁有足夠的彈性,未來新增和整合 WAF 功能時可進行靈活調整

我們反覆試驗了多個選項,主要包括下列版面配置:垂直式、桌面式,甚至是折疊式。但是,這些選項每一個都會強制我們複製頁面上類似功能的按鈕。為了避免造成額外的混亂情況,我們捨棄了這些選項,轉而採用帶索引標籤的水平版面配置。

如何取得?

從今日開始,我們推出的這項全新 WAF 設計將可供所有人使用!於此同時,我們還更新了教學文件,帶領您了解如何充分利用 Cloudflare WAF 的強大功能。

未來展望

這僅是整個旅程的開端,我們希望 Cloudflare WAF 變得更強大的同時,更能夠輕鬆滿足使用者的需求。我們評估了保護 Web 應用程式時,強化決策流程的方法。隨著 Intel 資訊的日益成長以及規則建立可能性的增加,我們希望縮短您在偵測到潛在威脅(例如透過網路安全概觀)和設定合適的規則以緩解這類威脅之間的路徑。敬請期待!

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.

安全週 (ZH) WAF (TW) 防守 (CN)

Follow on Twitter

Syeef Karim |@syeefk
Cloudflare |Cloudflare

Related Posts

March 27, 2021 1:00PM

Keyless SSL 現已支援所有主流雲端提供者的 FIPS 140-2 L3 硬體安全模組 (HSM) 產品

Cloudflare 產生、保護和管理的 SSL/TLS 私密金鑰數量比世界上任何組織都要多。私密金鑰必須得到妥善保護,因為攻擊者一旦掌握了私密金鑰,就能冒充合法站點並解密 HTTPS 請求。為了緩解這種風險,Cloudflare 制定了嚴格的私密金鑰處理程序,並在邊緣部署了隔離層,不惜一切代價保護私密金鑰安全。然而,有少數客戶因爲資訊安全政策規定了允許(或禁止)在哪裡保管私密金鑰,因此無法透過這些保護措施來滿足要求。...