Firewall de aplicaciones web (WAF)

Un WAF crea un escudo entre una aplicación web e Internet. Este escudo puede ayudar a mitigar muchos ataques habituales.

Share facebook icon linkedin icon twitter icon email icon

WAF

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Define el firewall de aplicaciones web
  • Explica la diferencia entre WAF de lista negra y de la lista blanca
  • Comprende las ventajas y desventajas de los WAF basados en la red, el host y la nube

¿Qué es un firewall de aplicaciones web (WAF)?

Un WAF o firewall de aplicaciones web ayuda a proteger las aplicaciones web al filtrar y supervisar el tráfico HTTP entre una aplicación web e Internet. Normalmente, protege las aplicaciones web de ataques como falsificación de sitios cruzados, secuencias de comandos en sitios cruzados (XSS), inclusión de archivos e inyecciones de código SQL, entre otros. Un WAF es una defensa de la capa 7 del protocolo (en el modelo OSI) y no está diseñado para defender contra todo tipo de ataque. Este método de mitigación de ataques suele ser parte de un paquete de herramientas que, en conjunto, crean una defensa holística contra una variedad de vectores de ataque.


Al implementar un WAF frente a una aplicación web, se ubica un escudo entre esta e Internet. Mientras que un servidor proxy protege la identidad de la máquina del cliente mediante un intermediario, un WAF es un tipo de proxy inverso que protege el servidor de la exposición al hacer que los clientes atraviesen el WAF antes de llegar al servidor.


Un WAF opera a través de un conjunto de reglas que suelen llamarse políticas. El objetivo de estas políticas es proteger contra las vulnerabilidades en la aplicación al filtrar el tráfico malicioso. El valor de un WAF proviene, en parte, de la rapidez y facilidad con la cual se puede implementar la modificación de políticas, lo que permite una respuesta más rápida a los vectores de ataque variables. Durante un ataque DDoS, puede implementarse rápidamente la limitación de velocidad al modificar las políticas WAF.

DDoS Cómo funciona un WAF

¿Cuál es la diferencia entre WAF de lista negra y de la lista blanca?

Un WAF que opera en función de una lista negra (modelo de seguridad negativa) brinda protección contra ataques conocidos. Piensa en el WAF de lista negra como el portero de una discoteca, que tiene instrucciones para denegar el acceso a quienes no cumplen con el código de vestimenta. Por el contrario, un WAF basado en una lista blanca (modelo de seguridad positiva) solo admite el tráfico que ha sido aprobado previamente. Esto es como el portero de una fiesta exclusiva, que solo admite a quienes están en la lista. Tanto las listas negras como las blancas tienen sus ventajas y desventajas. Por esto, muchos WAF ofrecen un modelo de seguridad híbrida que implementa ambas.

¿Qué son los WAF basados en la red, el host y la nube?

Un WAF puede implementarse de tres maneras distintas, cada cual con sus beneficios y limitaciones:

  • Un WAF basado en la red generalmente se tiene base en el hardware. Ya que están instalados de manera local, minimizan la latencia. Sin embargo, los WAF basados en la red son la opción más costosa y requieren el almacenamiento y mantenimiento de equipo físico.
  • Un WAF basado en el host puede estar integrado por completo en el software de una aplicación. Esta solución es menos costosa que un WAF basado en la red y ofrece mayor personalización. La desventaja de un WAF basado en el host es el consumo de recursos del servidor local, la complejidad de la implementación y los costos de mantenimiento. En general, estos componentes requieren tiempo de ingeniería y pueden ser costosos.
  • Los WAF basados en la nube ofrecen una opción asequible que es muy fácil de implementar. Normalmente, ofrecen una instalación llave en mano que es tan sencilla como cambiar el DNS para redirigir el tráfico. Los WAF basados en la nube también tienen un costo por adelantado mínimo, ya que los usuarios pagan por mes o por año por la seguridad como servicio. Además, los WAF basados en la nube pueden ofrecer una solución que se actualiza constantemente para brindar protección contra las amenazas más nuevas sin trabajo o costo adicional de parte del usuario. La desventaja del WAF basado en la nube es que los usuarios delegan la responsabilidad a un tercero. Por lo tanto, algunas de sus características pueden representar un misterio para ellos. Más información acerca de la solución del WAF basado en la nube de Cloudflare.