¿Qué es un WAF? | Explicación de Web Application Firewall

Un WAF crea un escudo entre una aplicación web e Internet; este escudo puede ayudar a mitigar muchos de los ataques habituales.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir firewall de aplicaciones web
  • Explicar la diferencia entre los WAF basados en lista negra y los WAF basados en lista blanca
  • Comprender las ventajas y las desventajas de los WAF basados en la red, basados en host y basados en la nube

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es un Web Application Firewall (WAF)?

Un firewall de aplicaciones web (WAF) ayuda a proteger las aplicaciones web al filtrar y monitorizar el tráfico HTTP entre una aplicación web e Internet. Normalmente protege las aplicaciones web de ataques como el cross-site forgery, el cross-site-scripting (XSS), la inclusión de archivos y la inyección de código SQL, entre otros.

El WAF es una defensa del protocolo de capa 7 (en el modelo OSI) y no está diseñado para defender de todos los tipos de ataques. Este método de mitigación de ataques suele formar parte de un paquete de herramientas que, en conjunto, crean una defensa integral contra una amplia gama de vectores de ataque.

Al desplegar un WAF en una aplicación web, se coloca un escudo entre la aplicación web e Internet. Si bien un servidor proxy protege la identidad del equipo del cliente por medio de un intermediario, un WAF es un tipo de proxy inverso que protege al servidor de los riesgos al hacer que los clientes atraviesen el WAF antes de llegar al servidor.

El WAF opera por medio de un conjunto de reglas, normalmente denominadas directivas. Estas directivas tienen el fin de proteger contra vulnerabilidades en la aplicación al filtrar el tráfico malicioso. El valor de un WAF procede, en parte, de la velocidad y facilidad con que se pueden aplicar modificaciones en las directivas que permiten una respuesta más rápida ante diversos vectores de ataque; durante un ataque DDoS, se puede implementar rápidamente la limitación de velocidad modificando las directivas del WAF.

DDOS Cómo funciona un WAF
Ficha técnica
Cómo lucha Cloudflare WAF contra los ataques web
Informe
Consulta el Informe sobre el panorama de las amenazas DDoS en el 4º trimestre de 2023

¿Cuál es la diferencia entre los WAF basados en lista negra y los WAF basados en lista blanca?

Un WAF que opera basándose en una lista negra (modelo de seguridad negativa) protege de ataques conocidos. Un WAF de lista negra es como el guardia de seguridad de una discoteca al que se le indica que impida la entrada a invitados que no cumplan con el código de vestimenta. Por el contrario, un WAF basado en lista blanca (modelo de seguridad positiva) solo admite tráfico que haya sido aprobado previamente. Sería como el guardia de seguridad de una fiesta exclusiva que solo admite a las personas que se encuentran en la lista. Tanto la lista negra como la lista blanca tienen sus ventajas y desventajas, por lo que muchos WAF ofrecen un modelo de seguridad híbrido que implementa ambas.

Protección WAF
Defiéndete contra el "Top 10" de técnicas de ataque

¿Qué son los WAF basados en la red, basados en host y basados en la nube?

Un WAF puede implementarse de tres maneras, cada una con sus propias ventajas y desventajas:

  • Un WAF basado en la red suele estar basado en un hardware. Al instalarse de forma local, reducen la latencia. Sin embargo, los WAF basados en la red son la opción más costosa y también requieren el almacenamiento y mantenimiento de equipos físicos.
  • Un WAF basado en host puede estar totalmente integrado en el software de una aplicación. Esta solución es más barata que un WAF basado en la red y se puede personalizar con más facilidad. Pero un WAF basado en host también tiene desventajas, como el consumo de recursos del servidor local, la complejidad de la implementación y los costes de mantenimiento. Estos componentes suelen necesitar tiempo de ingeniería, y esto puede ser caro.
  • Los WAF basados en la nube ofrecen una opción accesible que es muy fácil de implementar; suelen ofrecer una instalación lista para usar que es tan simple como aplicar un cambio en el DNS para redirigir el tráfico. Los WAF basados en la nube también tienen un coste inicial mínimo, ya que los usuarios pagan mensual o anualmente por la seguridad como servicio. Los WAF basados en la nube también pueden ofrecer una solución que se actualiza constantemente para proteger de las amenazas más nuevas sin trabajo o costes adicionales para el usuario. La desventaja de un WAF basado en la nube es que los usuarios derivan la responsabilidad a un tercero, por lo que algunas funciones del WAF pueden representar un misterio para ellos (un WAF basado en la nube es un tipo de firewall en la nube; aquí hay más información sobre los firewalls de la nube).

Descubre cómo la conectividad cloud permite a las empresas proteger su sitio web con una solución WAF basada en nubes.