WAF (файрвол веб-приложений)

Что такое WAF? 

Файрвол веб-приложений (Web Application Firewall, WAF) — межсетевой экран для защиты веб-приложений. Это инструмент для фильтрации и отслеживания трафика, работающий на прикладном уровне.

Оглавление:

• Какие задачи решает WAF
• Как работает
• Виды WAF
• WAF vs. IDS/IPS
• От каких атак защищает WAF

Какие задачи решает WAF

WAF помогает защищать веб-приложения, фильтруя и отслеживая трафик на 7 (прикладном) уровне модели OSI. В частности, к нему относится передача данных по протоколам HTTP/HTTPS. 

Обычно WAF размещается перед веб-приложением, выполняя роль щита между ним и интернетом. В то время как прокси защищает данные клиента, WAF можно назвать «обратным прокси» — он защищает сервер, пропуская запросы через себя, прежде чем предоставить их инициаторам доступ к ресурсу.

Как работает WAF

Чаще всего WAF работает по определённому набору правил. Они формируются на базе известных уязвимостей. Трафик анализируется и соотносится с правилами. В результате он признаётся легитимным или отфильтровывается как вредоносный. При этом WAF ценят за удобство работы с правилами. Любое изменение в них можно внести оперативно и без особых усилий, что позволяет быстрее и эффективнее реагировать на меняющиеся векторы угроз.

Так как WAF работает на прикладном уровне, такой файрвол взаимодействует с потоком данных, а не с сетевым трафиком, после того, как он был получен хостом. Вот почему WAF обычно применяется после дешифрования. Это значит, что у него есть полный доступ к содержимому запроса к веб-приложению и ответа на него.

Виды WAF

Как правило, выбор Web Application Firewall зависит от требований к безопасности в компании, архитектуры веб-приложения и бюджета. Чаще всего WAF классифицируют по трём критериям:

 По типу развёртывания: 

• облачный WAF — SaaS-услуга, которую предоставляет провайдер. Оплачивается по подписке и не требует установки дополнительного оборудования,
• локальный (On-Premise) WAF — аппаратное решение, которое устанавливается на сервер веб-приложения,
• гибридный WAF — комбинация облачного и локального решений.

2. По способу работы:

• на базе сигнатур (Signature-based) — блокирует атаки по известным шаблонам (SQLi, XSS и др.),
• на основе поведения (Behavior-based / Anomaly Detection) — анализирует отклонения от нормального трафика (AI/ML),
• позитивный метод (Whitelist-based) — разрешает только заранее одобренные запросы,
• негативный метод (Blacklist-based) — блокирует известные вредоносные запросы.

3. По модели обработки трафика:

• прокси-режим (Reverse Proxy) — WAF выступает как промежуточный сервер,
• транспарентный (Transparent / Bridge Mode) — работает в inline-режиме без изменения IP-адресов.
• пассивный (Out-of-Band / Monitoring Mode) — используется только для мониторинга трафика, без его блокировки.

WAF и IDS/IPS (системы обнаружения/предотвращения вторжений)

Работа WAF строится на правилах, которые относятся только к веб-приложениям. В случае с IDS/IPS анализ данных проходит шире, в том числе на сетевом уровне инфраструктуры. 

Также, в отличие от систем обнаружения и предотвращения вторжений, WAF больше сфокусирован на проверках JSON или XML. Ещё один важный момент — при анализе данных он уделяет внимание не только аномалиям, но и подтверждениям легитимности трафика. Системы IDS/IPS больше сосредоточены только на том, чтобы выявить признаки потенциально опасных запросов.

В отличие от WAF, IDS/IPS (Intrusion Detection/Protection System) по-другому работает в связке с шифрованием данных. По этой причине IDS/IPS система может не отследить некоторые атаки на веб-приложение. 

В то же время IDS/IPS решения поддерживают более широкий спектр сигнатур и способны обнаруживать такие угрозы, как атаки фрагментированными IP-пакетами. В свою очередь WAF их распознать не может, так как он ограничен в работе протоколами веб-приложений.

WAF и IDS/IPS — схожие инструменты со схожими функциями. В случае атаки они могут среагировать оба. Но есть вероятность, что некоторые угрозы пройдут незамеченными мимо одного из решений. Часть атак может обнаружить только WAF, другую — лишь IDS/IPS.

От каких атак защищает WAF?

Web Application Firewall — отличное средство защиты от многих типов атак. В их числе SQL-инъекции, XSS (межсетевой скриптинг) и другие актуальные угрозы для веб-приложений. 

Также WAF часто используется для защиты от ботов. Они по-прежнему опасны для многих компаний. Генерируя более 20% трафика в интернете, боты перегружают сервера веб-приложений, занимаются поиском уязвимостей, парсингом и т.д. 

Читайте подробнее в нашей статье: «От чего защищает файрвол WAF».

Узнайте подробнее об услуге «Защита веб-приложений с использованием облачного WAF».