¿Qué es un WAF? | Explicación de Web Application Firewall

Un WAF crea un escudo entre una aplicación web e Internet; este escudo puede ayudar a mitigar muchos de los ataques habituales.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir Web Application Firewall
  • Explicar la diferencia entre los WAF basados en lista negra y los WAF basados en lista blanca
  • Comprender las ventajas y las desventajas de los WAF basados en la red, basados en host y basados en la nube

Copiar enlace del artículo

¿Qué es un Web Application Firewall (WAF)?

A WAF or Web Application Firewall helps protect web applications by filtering and monitoring HTTP traffic between a web application and the Internet. It typically protects web applications from attacks such as cross-site forgery, cross-site-scripting (XSS), file inclusion, and SQL injection, among others. A WAF is a protocol layer 7 defense (in the OSI model), and is not designed to defend against all types of attacks. This method of attack mitigation is usually part of a suite of tools which together create a holistic defense against a range of attack vectors.

Al desplegar un WAF en una aplicación web, se coloca un escudo entre la aplicación web e Internet. Si bien un servidor proxy protege la identidad del equipo del cliente por medio de un intermediario, un WAF es un tipo de proxy inverso que protege al servidor de los riesgos al hacer que los clientes atraviesen el WAF antes de llegar al servidor.

A WAF operates through a set of rules often called policies. These policies aim to protect against vulnerabilities in the application by filtering out malicious traffic. The value of a WAF comes in part from the speed and ease with which policy modification can be implemented, allowing for faster response to varying attack vectors; during a DDoS attack, rate limiting can be quickly implemented by modifying WAF policies.

DDOS Cómo funciona un WAF

¿Cuál es la diferencia entre los WAF basados en lista negra y los WAF basados en lista blanca?

Un WAF que opera basándose en una lista negra (modelo de seguridad negativa) protege de ataques conocidos. Un WAF de lista negra es como el guardia de seguridad de una discoteca al que se le indica que impida la entrada a invitados que no cumplan con el código de vestimenta. Por el contrario, un WAF basado en lista blanca (modelo de seguridad positiva) solo admite tráfico que haya sido aprobado previamente. Sería como el guardia de seguridad de una fiesta exclusiva que solo admite a las personas que se encuentran en la lista. Tanto la lista negra como la lista blanca tienen sus ventajas y desventajas, por lo que muchos WAF ofrecen un modelo de seguridad híbrido que implementa ambas.

¿Qué son los WAF basados en la red, basados en host y basados en la nube?

Un WAF puede implementarse de tres maneras, cada una con sus propias ventajas y desventajas:

  • Un WAF basado en la red suele estar basado en un hardware. Al instalarse de forma local, reducen la latencia. Sin embargo, los WAF basados en la red son la opción más costosa y también requieren el almacenamiento y mantenimiento de equipos físicos.
  • Un WAF basado en host puede estar totalmente integrado en el software de una aplicación. Esta solución es más barata que un WAF basado en la red y se puede personalizar con más facilidad. Pero un WAF basado en host también tiene desventajas, como el consumo de recursos del servidor local, la complejidad de la implementación y los costes de mantenimiento. Estos componentes suelen necesitar tiempo de ingeniería, y esto puede ser caro.
  • Cloud-based WAFs offer an affordable option that is very easy to implement; they usually offer a turnkey installation that is as simple as a change in DNS to redirect traffic. Cloud-based WAFs also have a minimal upfront cost, as users pay monthly or annually for security as a service. Cloud-based WAFs can also offer a solution that is consistently updated to protect against the newest threats without any additional work or cost on the user’s end. The drawback of a cloud-based WAF is that users hand over the responsibility to a third-party, therefore some features of the WAF may be a black box to them. Learn about Cloudflare's cloud-based WAF solution.

Ventas