Web Application Firewall (WAF)

Un WAF crea un escudo entre una aplicación web e Internet; este escudo puede ayudar a mitigar muchos ataques habituales.

Share facebook icon linkedin icon twitter icon email icon

WAF

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Definir Web Application Firewall
  • Explicar la diferencia entre los WAF basados en lista negra y los WAF basados en lista blanca
  • Comprender las ventajas y las desventajas de los WAF basados en la red, basados en host y basados en la nube

¿Qué es un Web Application Firewall (WAF)?

Un WAF o Web Application Firewall ayuda a proteger las aplicaciones web al filtrar y monitorear el tráfico HTTP entre una aplicación web e Internet. Normalmente protege las aplicaciones web de ataques como falsificaciones entre sitios, scripts entre sitios (XSS), inclusiones de archivos e inyecciones de código SQL, entre otros. Un WAF es una defensa para la capa 7 de protocolo (en el modelo OSI) y no está diseñado para defender de todos los tipos de ataques. Este método de mitigación de ataques suele formar parte de un paquete de herramientas que, en conjunto, crean una defensa integral de una amplia gama de vectores de ataque.


Al implementar un WAF en una aplicación web, se coloca un escudo entre la aplicación web e Internet. Si bien un servidor proxy protege la identidad del equipo del cliente por medio de un intermediario, un WAF es un tipo de proxy inverso que protege al servidor de exposiciones al hacer que los clientes atraviesen el WAF antes de llegar al servidor.


Un WAF opera por medio de un conjunto de reglas, normalmente denominadas directivas. Estas directivas tienen el fin de proteger de vulnerabilidades en la aplicación al filtrar el tráfico malicioso. El valor de un WAF viene, en parte, de la velocidad y facilidad con la que se pueden implementar modificaciones en las directivas, lo que permite una respuesta más rápida ante diversos vectores de ataque; durante un ataque DDoS, se puede implementar Rate Limiting rápidamente al modificar las directivas del WAF.

DDOS Cómo funciona un WAF

¿Cuál es la diferencia entre los WAF basados en lista negra y los WAF basados en lista blanca?

Un WAF que opera basado en lista negra (modelo de seguridad negativa) protege de ataques conocidos. Un WAF incluido en lista negra es como el guardia de un club al que se le indica que niegue el ingreso a invitados que no cumplan con el código de vestimenta. Por el contrario, un WAF basado en lista blanca (modelo de seguridad positiva) solo admite tráfico que haya sido aprobado previamente. Sería como el guardia de una fiesta exclusiva que solo admite a las personas que se encuentran en la lista. Tanto la lista negra como la lista blanca tienen sus ventajas y desventajas, por lo que muchos WAF ofrecen un modelo de seguridad híbrido que implementa ambas.

¿Qué son los WAF basados en la red, basados en host y basados en la nube?

Un WAF puede implementarse de tres maneras, cada una con sus propias ventajas y desventajas:

  • Un WAF basado en la red suele estar basado en un hardware. Al instalarse de forma local, se reduce la latencia, pero los WAF basados en la red son la opción más costosa y también requieren el almacenamiento y mantenimiento de equipos físicos.
  • Un WAF basado en host puede integrarse por completo en el software de una aplicación. Esta solución es menos costosa que un WAF basado en la red y ofrece mayor personalización. La desventaja de un WAF basado en host es el consumo de recursos locales del servidor, la complejidad de la implementación y los costos de mantenimiento. Estos componentes suelen requerir tiempo de ingeniería y pueden ser costosos.
  • Los WAF basados en la nube ofrecen una opción accesible que es muy fácil de implementar; suelen ofrecer una instalación lista para usar que es tan simple como aplicar un cambio en el DNS para redireccionar el tráfico. Los WAF basados en la nube también tienen un costo inicial mínimo, ya que los usuarios pagan mensual o anualmente por seguridad como servicio. Los WAF basados en la nube también pueden ofrecer una solución que se actualiza constantemente para proteger de las amenazas más nuevas sin trabajos o costos adicionales para el usuario. La desventaja de un WAF basado en la nube es que los usuarios derivan la responsabilidad a un tercero, por lo que algunas funciones del WAF pueden representar un misterio para ellos. Obtén información sobre la solución de WAF basado en la nube de Cloudflare.