Web Application Firewall (WAF) to zapora sieciowa, która ma za zadanie chronić aplikacje
webowe, czyli strony internetowe. WAF kontroluje i filtruje ruch HTTP pomiędzy stroną www a siecią Internet. Zapora WAF może występować jako wtyczka zainstalowana na serwerze lub osobne fizyczne urządzenie.
Jak działa WAF?
Web Application Firewall monitoruje ruch wychodzący i przychodzący w aplikacji webowej,
opierając się na zasadach, według których klasyfikowane są napotkane zdarzenia. Czarna
lista zawiera zbiór elementów, które mają być oznaczane przez zaporę jako niebezpieczne.
Każdy element wymieniony na czarnej liście zostaje zablokowany, zmieniony lub
odnotowany w logach serwera. Biała lista zawiera zestaw elementów akceptowanych przez
serwer. Wszystkie zdarzenia, których nie ma na białej liście, zostają automatycznie zapisane na czarnej liście.
Biała lista zapory WAF wymaga skomplikowanej implementacji, jednak jej konfiguracja
zapewnia, że wszystkie ataki będą identyfikowane o wiele sprawniej. Natomiast czarna lista
pozwala na naprawę znalezionych elementów bez ingerowania w strukturę aplikacji.
Jednoczesne korzystanie z czarnej i białej listy tworzy system, który uzupełnia się wzajemnie i na bieżąco aktualizuje swoje indeksy.
W jaki sposób wdrożyć WAF?
Zapora WAF może zostać zaimplementowana w infrastrukturze na trzy sposoby. Każdy z
nich w odmienny sposób wykorzystuje zasoby sprzętowe, pamięć i budżet firmowy.
Pierwszym sposobem jest rozwiązanie network-based. Zapora WAF zostaje oparta na
osobnym sprzęcie i zainstalowana lokalnie. Ten sposób wdrożenia zapory minimalizuje
opóźnienia, ale należy pamiętać o regularnej konserwacji i zasobach do przechowywania
danych.
Druga opcja nosi nazwę host-based. W nim zapora WAF jest zintegrowana z hostem
aplikacji. W tej opcji istnieje najwięcej możliwości dostosowywania zapory do potrzeb firmy,
jednak instalacja na serwerze hosta zużywa jego przestrzeń lokalną. Zaimplementowanie
zapory WAF w integracji z hostem wymaga dużych nakładów czasu i zaangażowania
doświadczonych inżynierów.
Trzecim sposobem jest rozwiązanie cloud-based, czyli chmurowa wersja zapory WAF. Do
zainstalowania potrzebuje ona jedynie zmiany wpisu w DNS i przekierowania ruchu.
Aktualizacja i konserwacja WAF zostaje przekazana w ręce osoby spoza firmy.
Najdroższe ze wszystkich sposobów jest rozwiązanie network-based. Wdrożenie oparte na
hoście zapewnia większe oszczędności, ale pochłania czas i zaangażowanie najzdolniejszych
pracowników. Wersja chmurowa zapory WAF to najtańsze i najszybsze rozwiązanie. Jej
jedyną wadą jest oddanie odpowiedzialności za system zewnętrznej firmie.