¿Qué es un WAF? | Explicación del firewall de aplicaciones web

Un WAF crea un escudo entre una aplicación web e Internet. Este escudo puede ayudar a mitigar muchos ataques habituales.

Share facebook icon linkedin icon twitter icon email icon

WAF

Metas de aprendizaje

Después de leer este artículo usted podrá:

  • Definir el firewall de aplicaciones web
  • Explicar la diferencia entre WAF de lista negra y de lista blanca
  • Comprender las ventajas y desventajas de los WAF basados en la red, el host y la nube

¿Qué es un firewall de aplicaciones web (WAF)?

Un WAF o firewall de aplicaciones web ayuda a proteger las aplicaciones web al filtrar y supervisar el tráfico HTTP entre una aplicación web e Internet. Normalmente, protege las aplicaciones web de ataques como falsificación de sitios cruzados, secuencias de comandos en sitios cruzados (XSS), inclusión de archivos e inyecciones de código SQL, entre otros. Un WAF es una defensa de la capa 7 del protocolo (en el modelo OSI) y no está diseñado para defender contra todo tipo de ataque. Este método de mitigación de ataques suele ser parte de un paquete de herramientas que, en conjunto, crean una defensa holística contra una variedad de vectores de ataque.


Al implementar un WAF frente a una aplicación web, se ubica un escudo entre esta e Internet. Mientras que un servidor proxy protege la identidad de la máquina cliente mediante un intermediario, un WAF es un tipo de proxy inverso que protege el servidor de la exposición al hacer que los clientes atraviesen el WAF antes de llegar al servidor.


Un WAF opera a través de un conjunto de reglas que suelen llamarse “políticas”. El objetivo de estas políticas es proteger contra las vulnerabilidades en la aplicación al filtrar el tráfico malicioso. El valor de un WAF proviene, en parte, de la rapidez y facilidad con la cual se puede implementar la modificación de políticas, lo que permite una respuesta más rápida a los vectores de ataque variables. Durante un ataque DDoS, puede implementarse rápidamente la limitación de velocidad al modificar las políticas WAF.

DDOS How A WAF Works

¿Cuál es la diferencia entre WAF de lista negra y de lista blanca?

Un WAF que opera en función de una lista negra (modelo de seguridad negativa) protege contra ataques conocidos. Pensemos en el WAF de lista negra como el portero de una discoteca, que tiene instrucciones de no permitir el acceso a quienes no cumplen con el código de vestimenta. Por el contrario, un WAF basado en lista blanca (modelo de seguridad positiva) solo admite el tráfico que ha sido aprobado previamente. Esto es como el portero de una fiesta exclusiva, que solo admite a quienes están en la lista. Tanto las listas negras como las blancas tienen sus ventajas y desventajas. Por esto, muchos WAF ofrecen un modelo de seguridad híbrida que implementa ambas.

¿Qué son los WAF basados en la red, el host y la nube?

Un WAF puede implementarse de tres maneras distintas, cada cual con sus beneficios y limitaciones:

  • Un WAF basado en la red generalmente se basa en hardware. Debido a que están instalados de manera local, minimizan la latencia. Sin embargo, los WAF basados en la red son la opción más costosa y requieren el almacenamiento y mantenimiento de equipo físico.
  • Un WAF basado en el host puede estar integrado por completo en el software de una aplicación. Esta solución es menos costosa que un WAF basado en la red y ofrece mayor personalización. La desventaja de un WAF basado en el host es el consumo de recursos del servidor local, la complejidad de la implementación y los costos de mantenimiento. En general, estos componentes requieren tiempo de ingeniería y pueden ser costosos.
  • Los WAF basados en la nube ofrecen una opción asequible que es muy fácil de implementar. Normalmente, ofrecen una instalación llave en mano que es tan sencilla como cambiar el DNS para redirigir el tráfico. Los WAF basados en la nube también tienen un costo por adelantado mínimo, ya que los usuarios pagan por mes o por año por la seguridad como servicio. Además, los WAF basados en la nube pueden ofrecer una solución que se actualiza constantemente para proteger contra las amenazas más recientes sin trabajo o costo adicional por parte del usuario. La desventaja del WAF basado en la nube es que los usuarios delegan la responsabilidad a un tercero. Por lo tanto, algunas de sus características pueden representar un misterio para ellos. Más información acerca de la solución del WAF basado en la nube de Cloudflare.