A new WAF Experience

大約三年前,我們在儀表板瀏覽列的防火牆索引標籤中引入了多項功能,目的是「推出更加直觀好用的產品和服務」。也因為過去三年在擴展產品功能方面的努力,我們才想利用另一次機會以評估 Cloudflare WAF(Web 應用程式防火牆)的直觀性。

我們的客戶領先採用全新 WAF

網路安全格局日新月異;Web 應用程式類型成長快速;業界存在多種方法,可讓使用者了解 WAF 包含且能夠提供的內容。Cloudflare 不僅代理了企業應用程式,還有數百萬計的個人部落格、社群網站及小型企業商店。我們提供的各種產品涵蓋千變萬化的使用案例;但是,這些產品目前相當分散,因而主動保護規則並不明確。這促使我們思考如何推出更明確符合期望的產品,藉此向自家客戶提供支援以發揮 WAF 的最大價值。

幾個月前,我們聯絡了客戶並請他們回答一個簡單的問題:您認為什麼是 WAF 的一部分?為此,我們採用了一系列使用者研究方法,包括卡片分類、樹狀測試、設計評估及問卷調查。研究結果說明了我們客戶對 WAF 的看法、WAF 對他們的現實意義,以及 WAF 如何在使用案例為其提供支援。這啟發了產品團隊去擴展規模並深思(Web 應用程式)網路安全的含義,而不僅僅是 WAF。

根據數百位客戶的反饋,我們的使用者研究和產品團隊合作進行產品管理,以便重新構建網路安全體驗。我們對假設情況進行了檢驗並評估了設計概念的效度,以便建立反映出客戶心智模型的結構(或資訊基礎架構)。

這項新架構整合了防火牆規則、受管理規則及限速規則,成為 WAF 的一部分。由於能夠區分惡意和乾淨流量,全新 WAF 將致力於成為 Web 應用程式網路安全的一站式服務。

截至今日為止,我們的導覽列出現了下列變更:

  1. 防火牆重新命名為網路安全。
  2. 在「網路安全」下方,您現在可以找到 WAF
  3. 防火牆規則、受管理規則及限速規格目前位於 WAF 下方。
從現在開始,我們所謂的 WAF 就包括這三項要素。

而且,這些要素即將迎來一些重要更新。我們將在網路安全週推出進階限速規則,且每一位客戶都會免費取得一系列受管理規則,以便讓所有流量免受一些重要漏洞影響。最後,未來幾個月內,防火牆規則會移至規則集引擎,同時藉由全新規則集 API 加入更強大的功能。是否充滿期待?

客戶如何塑造 WAF 的未來

將近 500 位客戶參與這次的使用者調查研究,讓我們得以了解相關需求及使用情境。我們採用了四種研究方法,全部都以無主持人的形式進行;這表示世界各地的人們都能夠任選時間和地點遠距參與。

  • 在卡片分類中,參與者需要將導覽元素分組為對其有意義的類別。
  • 樹狀測試評估了提議的導覽結構,並將重點放在針對我們目標受眾執行時的狀況好壞。
  • 設計評估涉及使用任務型方法測量設計概念的效度和效用。
  • 調查問題則協助我們深入探究結果,並得出參與者的狀況。

這項四管齊下的研究結果顯示出下列 WAF 和網路安全的變更。

全新的 WAF 體驗

最終結果揭露了 WAF 屬於更廣泛網路安全類別的一部分,同時包括機器人、DDoS、API Shield 及 Page Shield。此目的地能讓您建立專屬規則(也就是防火牆規則)、部署 Cloudflare 受管理規則、設定限速條件並納入實用工具,以便保護您的 Web 應用程式。

使用所有方案的全部客戶目前都可以看到按如下方式整理的 WAF 產品:

  1. 防火牆規則可讓您封鎖或允許利用所有 HTTP 要求之要素的流量,以及由 Cloudflare 運算的動態欄位(例如機器人分數),藉此建立自訂、使用者定義的邏輯。
  2. 限速規則包括我們於 2018 年推出的傳統 IP 產品,以及後續適用於進階方案的 ENT 客戶進階限速(即將登場)。
  3. 受管理規則可讓客戶部署一系列由 Cloudflare 分析師團隊管理的規則。這些規則集納入了目前針對所有方案推出的「Cloudflare 免費的受管理規則集」,包括免費版,以及適用於所有付費方案的 Cloudflare 受管理、OWASP 實作及暴露憑證檢查。
  4. 工具則提供對 IP 存取規則、區域鎖定及使用者代理程式封鎖的存取權限。雖然這些產品仍受到主動支援,還是適用於可使用防火牆規則解決的特定使用案例。但是,為方便起見,其還是屬於 WAF 工具箱的一部分。

重新定義 WAF 體驗

格式塔設計原則表明「彼此接近的元素可視為具有類似功能或特徵」。除了客戶提供的意見之外,此原則更為我們的設計決策提供了依據。

檢閱研究回應後,我們理解了將儀表板設計為易於尋找網路安全產品的重要性,以及釐清特定產品彼此相關或協同合作的必要性。

更重要的是,該頁面必須:

  • 顯示我們支援的每種規則,即防火牆規則、限速規則及受管理規則
  • 呈現每種類型的用量
  • 讓客戶能夠加入全新規則並管理現有規則
  • 讓客戶得以使用現有的「拖放」行為將規則重新排序
  • 擁有足夠的彈性,未來新增和整合 WAF 功能時可進行靈活調整

我們反覆試驗了多個選項,主要包括下列版面配置:垂直式、桌面式,甚至是折疊式。但是,這些選項每一個都會強制我們複製頁面上類似功能的按鈕。為了避免造成額外的混亂情況,我們捨棄了這些選項,轉而採用帶索引標籤的水平版面配置。

如何取得?

從今日開始,我們推出的這項全新 WAF 設計將可供所有人使用!於此同時,我們還更新了教學文件,帶領您了解如何充分利用 Cloudflare WAF 的強大功能。

未來展望

這僅是整個旅程的開端,我們希望 Cloudflare WAF 變得更強大的同時,更能夠輕鬆滿足使用者的需求。我們評估了保護 Web 應用程式時,強化決策流程的方法。隨著 Intel 資訊的日益成長以及規則建立可能性的增加,我們希望縮短您在偵測到潛在威脅(例如透過網路安全概觀)和設定合適的規則以緩解這類威脅之間的路徑。敬請期待!