¿Qué es un WAF? | Explicación del firewall de aplicaciones web

Un WAF crea un escudo entre una aplicación web e Internet. Este escudo puede ayudar a mitigar muchos ataques habituales.

Share facebook icon linkedin icon twitter icon email icon

WAF

Metas de aprendizaje

Después de leer este artículo usted podrá:

  • Definir el firewall de aplicaciones web
  • Explica la diferencia entre los wafs de la lista de bloqueos y los de la lista de permisos
  • Comprender las ventajas y desventajas de los WAF basados en la red, el host y la nube

¿Qué es un firewall de aplicaciones web (WAF)?

Un WAF o firewall de aplicaciones web ayuda a proteger las aplicaciones web al filtrar y supervisar el tráfico HTTP entre una aplicación web e Internet. Normalmente, protege las aplicaciones web de ataques, como la falsificación de sitios cruzados, las secuencias de comandos en sitios cruzados (XSS), la inclusión de archivos y las inyecciones de código SQL, entre otros. Un WAF es una defensa de la capa 7 del protocolo (en el modelo OSI) y no está diseñado para la defensa de todo tipo de ataque. Este método de mitigación de ataques suele ser parte de un paquete de herramientas que, en conjunto, crean una defensa holística contra una variedad de vectores de ataque.


Al implementar un WAF frente a una aplicación web, se ubica un escudo entre esta e Internet. Mientras que un servidor proxy protege la identidad de la máquina del cliente mediante un intermediario, un WAF es un tipo de proxy inverso que protege al servidor de la exposición al hacer que los clientes atraviesen el WAF antes de llegar al servidor.


Un WAF opera a través de un conjunto de reglas que suelen llamarse “políticas”. El objetivo de estas políticas es proteger contra las vulnerabilidades en la aplicación al filtrar el tráfico malicioso. El valor de un WAF proviene, en parte, de la rapidez y facilidad con la cual se puede implementar la modificación de políticas, lo que permite una respuesta más rápida a los vectores de ataque variables. Durante un ataque DDoS, puede implementarse rápidamente la limitación de velocidad al modificar las políticas WAF.

DDOS - Cómo funciona un WAF

¿Cuál es la diferencia entre los WAF de la lista de bloqueos y los de la lista de permisos?

Un WAF que opera en función de una lista de bloqueos (modelo de seguridad negativa) protege contra ataques conocidos. Piensa en el WAF de la lista de bloqueos como el portero de una discoteca que tiene instrucciones para denegar el acceso a quienes no cumplen con el código de vestimenta. En cambio, el WAF de la lista de permisos (modelo de seguridad positiva) solo admite el tráfico que ha sido aprobado previamente. Esto es como el portero de una fiesta exclusiva, que solo admite a quienes están en la lista. Tanto las listas de bloqueos como las lista de permisos tienen sus ventajas y desventajas. Por eso, muchos WAF ofrecen un modelo de seguridad híbrida que implementa ambas.

¿Qué son los WAF basados en la red, el host y la nube?

Un WAF puede implementarse de tres maneras distintas, cada cual con sus beneficios y limitaciones:

  • Un WAF basado en la red generalmente se basa en un hardware. Ya que están instalados de manera local, minimizan la latencia. Sin embargo, los WAF basados en la red son la opción más costosa y requieren el almacenamiento y mantenimiento de equipo físico.
  • Un WAF basado en el host puede estar integrado por completo en el software de una aplicación. Esta solución es menos costosa que un WAF basado en la red y ofrece mayor personalización. La desventaja de un WAF basado en el host es el consumo de recursos del servidor local, la complejidad de la implementación y los costos de mantenimiento. En general, estos componentes requieren tiempo de ingeniería y pueden ser costosos.
  • Los WAF basados en la nube ofrecen una opción asequible que es muy fácil de implementar. Normalmente, la instalación permite el uso inmediato y es tan sencilla como cambiar el DNS para redirigir el tráfico. Los WAF en la nube también tienen un costo inicial mínimo, ya que los usuarios pagan por mes o por año por la seguridad como servicio. Además, los WAF en la nube ofrecen una solución que se actualiza constantemente para proteger contra las amenazas más recientes sin trabajo ni costo adicional por parte del usuario. La desventaja del WAF en la nube es que los usuarios delegan la responsabilidad en un tercero. Por lo tanto, algunas de sus características pueden resultar complejas para ellos. Más información de la solución del WAF en la nube de Cloudflare.