¿Qué es un WAF? | Explicación de Web Application Firewall

Un WAF crea un escudo entre una aplicación web e Internet; este escudo puede ayudar a mitigar muchos de los ataques habituales.

Share facebook icon linkedin icon twitter icon email icon

WAF

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Definir Web Application Firewall
  • Explicar la diferencia entre los WAF basados en lista negra y los WAF basados en lista blanca
  • Comprender las ventajas y las desventajas de los WAF basados en la red, basados en host y basados en la nube

¿Qué es un Web Application Firewall (WAF)?

Un WAF o Firewall de aplicaciones web ayuda a proteger las aplicaciones web mediante el filtrado y la supervisión del tráfico HTTP entre una aplicación web e Internet. Suele proteger las aplicaciones web de ataques como la falsificación en sitios cruzados, cross-site-scripting (XSS), inclusión de archivos e inyección SQL, entre otros. Un WAF es una defensa de protocolo de capa 7 (en el modelo OSI), y no está diseñado para defender ante todo tipo de ataques. Este método de mitigación de ataques suele formar parte de un conjunto de herramientas que crean, de manera conjunta, una defensa holística contra un rango de vectores de ataque.


Al desplegar un WAF frente a una aplicación web, se coloca un escudo entre la aplicación web e Internet. Si bien un servidor proxy protege la identidad del equipo del cliente por medio de un intermediario, un WAF es un tipo de proxy inverso que protege al servidor de exposiciones al hacer que los clientes atraviesen el WAF antes de llegar al servidor.


Un WAF funciona con un conjunto de reglas, que se suelen llamar políticas. Estas políticas están diseñadas para proteger la aplicación de vulnerabilidades mediante el filtrado del tráfico malicioso. El valor de un WAF viene, en parte, de la velocidad y facilidad con la que se pueden implementar modificaciones en las directivas, lo que permite una respuesta más rápida ante diversos vectores de ataque; durante un ataque DDoS, se puede implementar Rate Limiting rápidamente al modificar las directivas del WAF.

DDOS How A WAF Works

¿Cuál es la diferencia entre los WAF basados en lista negra y los WAF basados en lista blanca?

Un WAF que funciona en función de una lista negra (modelo de seguridad negativo) protege contra ataques conocidos. Piensa que el WAF de lista negra es como un portero de discoteca cuyo trabajo es no dejar entrar a los invitados que no cumplan con el código de vestimenta. Por el contrario, un WAF basado en una lista blanca (modelo de seguridad positivo) solo deja entrar al tráfico que ya haya sido aprobado. En este caso es como el portero de una fiesta exclusiva, solo deja entrar a la gente que esté en la lista. Tanto las listas negras como las listas blancas tienen sus ventajas e inconvenientes, así que muchos WAF ofrecen un modelo de seguridad híbrido, que implementa ambos.

¿Qué son los WAF basados en la red, basados en host y basados en la nube?

Un WAF puede implementarse de tres maneras, cada una con sus propias ventajas y desventajas:

  • Un WAF basado en red suele estar basado en hardware. Al instalarse de forma local, se reduce la latencia, pero los WAF basados en la red son la opción más costosa y también requieren el almacenamiento y mantenimiento de equipos físicos.
  • Un WAF basado en host puede estar totalmente integrado en el software de una aplicación. Esta solución es más barata que un WAF basado en la red y se puede personalizar con más facilidad. Pero un WAF basado en host también tiene desventajas, como el consumo de recursos del servidor local, la complejidad de la implementación y los costes de mantenimiento. Estos componentes suelen necesitar tiempo de ingeniería, y esto puede ser caro.
  • Los WAF basados en la nube son una opción más barata y y que además es muy fácil de implementar; normalmente suelen ofrecer una instalación llave en mano que es tan sencillo como un cambio en el DNS para redirigir el tráfico. Los WAF basados en la nube también tienen un coste inicial mínimo, ya que los usuarios pagan de forma mensual o anual por la seguridad como servicio. Los WAF basados en la nube también pueden ofrecer una solución que se actualiza constantemente para proteger antes las amenazas más recientes sin que suponga más trabajo o coste adicional para el usuario. Un WAF basado en la nube tiene como inconveniente que los usuarios transfieren la responsabilidad a un tercero, así que algunas características del WAF pueden ser una caja negra para ellos. Más información acerca de la solución WAF basada en la nube.