LMOS 版本 7.2.61.0 將移除已退役的 “Legacy WAF” 選項
Progress Kemp LoadMaster 的 “Legacy Web Application Firewall (WAF)” 功能已於 2021 年 6 月正式退役,並將在即將發布的 LMOS 版本 7.2.61.0 中完全移除。
本篇文章將詳細說明這項變更的影響、原因,以及目前仍使用 “Legacy WAF” 的用戶應採取的措施。
變更內容
在 LMOS 版本 7.2.61.0 中,所有 “Legacy WAF” 功能將被移除,此變更不會影響自 2021 年以來提供的替代方案 “OWASP CRS WAF”。
更新 LoadMaster 至 LMOS 7.2.61.0 後,“WAF Options (Legacy)” 面板及其相關功能將不再可用,包括所有啟用該功能的虛擬服務。
對於仍在使用 “Legacy WAF” 的虛擬服務,系統將自動啟用替代方案 “OWASP CRS WAF” 來取代原有設定。
如何執行更新?
在更新至 LMOS 版本 7.2.61.0 之前,系統會提供明確的警告和建議,提醒使用者 “Legacy WAF” 將被移除。
不同情境下的更新提示:
- 如果 LoadMaster 未啟用 “Legacy WAF”,則會顯示標準的更新提示。
- 如果 LoadMaster 啟用了 “Legacy WAF” 服務,則系統會列出所有受影響的虛擬服務,提示用戶進行必要的調整。
更新前的建議措施:
- 進行系統備份: 對於仍在使用 “Legacy WAF” 的系統,更新前務必進行完整備份,以防止設定遺失。
- 下載自訂規則文件: 若系統中存在 “Legacy WAF” 的自訂規則或數據檔案(可於 Web UI 的 Web Application Firewall > Custom Rules 路徑檢視),請在更新前下載並存檔,因為更新後這些檔案將不可用。
為何移除 “Legacy WAF”?
“Legacy WAF” 依賴於第三方安全規則集,該規則集於 2021 年 8 月進入終止支援 (End-of-Life) 階段,並於 2024 年 7 月完全停用。由於這些規則不再獲得更新或安全修補,因此 “Legacy WAF” 已無法滿足現代安全需求。
在 2021 年 4 月,LMOS 版本 7.2.54.0 推出了替代方案 “OWASP CRS WAF”,這是一套基於 OWASP CRS(Core Rule Set) 的 WAF 解決方案。
為何選擇 OWASP CRS WAF?
- 使用 免費、開源 的 OWASP CRS 來檢測攻擊
- 由 OWASP 基金會 持續開發,獨立於任何商業組織
- 支援 長期維護,提供穩定的安全防護
對 LoadMaster 用戶的安全性提升
相比 “Legacy WAF” 主要依賴針對已知攻擊的規則來偵測威脅,“OWASP CRS WAF” 採用更靈活的方式來識別異常行為:
- 舊版 WAF 依賴 特定的規則 來偵測攻擊
- OWASP CRS WAF 使用 行為分析 來識別異常活動,如 OWASP Top 10 攻擊類型與零日漏洞
- 更容易偵測未知攻擊,因為許多新攻擊模式與既有攻擊類型類似
給目前使用 “Legacy WAF” 的用戶建議
如果您的系統仍在使用 “Legacy WAF”,建議在更新 LMOS 7.2.61.0 之前,將現有的 “Legacy WAF” 服務手動轉換為 “OWASP CRS WAF”,這樣可以有更充裕的時間來進行微調與配置,確保新 WAF 設定符合應用需求。
關於自訂 WAF 規則的建議:
- 可重複使用: 針對特定流量偵測(如封鎖特定攻擊載荷、限制 IP 位址範圍)的自訂規則,通常可直接應用於新 WAF。
- 不可重複使用: 若自訂規則涉及 “Legacy WAF” 的特定排除項目,則由於舊規則與 ID 號碼已移除,這些規則將無法套用於 “OWASP CRS WAF”。
如果您需要更多關於自訂 WAF 規則的建議,請隨時聯繫我們的專業服務團隊。
總結
隨著 LMOS 版本 7.2.61.0 的發布,“Legacy WAF” 功能將完全移除,並由 “OWASP CRS WAF” 取代,提供更長期且可維護的安全解決方案。
建議所有使用者在更新前:
- 進行完整系統備份
- 下載並存檔任何自訂 “Legacy WAF” 規則
- 將現有 “Legacy WAF” 服務轉換為 “OWASP CRS WAF”
這項變更不僅確保 LoadMaster 的 WAF 功能更安全,也讓用戶能夠利用更靈活、長期受支持的 OWASP CRS WAF 來保護應用安全。