¿Qué es un WAF? | Explicación del firewall de aplicaciones web

Un WAF crea un escudo entre una aplicación web e Internet. Este escudo puede ayudar a mitigar muchos ataques habituales.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir el firewall de aplicaciones web
  • Explica la diferencia entre los wafs de la lista de bloqueos y los de la lista de permisos
  • Comprender las ventajas y desventajas de los WAF basados en la red, el host y la nube

Copiar el enlace del artículo

¿Qué es un firewall de aplicaciones web (WAF)?

A WAF or Web Application Firewall helps protect web applications by filtering and monitoring HTTP traffic between a web application and the Internet. It typically protects web applications from attacks such as cross-site forgery, cross-site-scripting (XSS), file inclusion, and SQL injection, among others. A WAF is a protocol layer 7 defense (in the OSI model), and is not designed to defend against all types of attacks. This method of attack mitigation is usually part of a suite of tools which together create a holistic defense against a range of attack vectors.

Al implementar un WAF frente a una aplicación web, se ubica un escudo entre esta e Internet. Mientras que un servidor proxy protege la identidad de la máquina del cliente mediante un intermediario, un WAF es un tipo de proxy inverso que protege al servidor de la exposición al hacer que los clientes atraviesen el WAF antes de llegar al servidor.

A WAF operates through a set of rules often called policies. These policies aim to protect against vulnerabilities in the application by filtering out malicious traffic. The value of a WAF comes in part from the speed and ease with which policy modification can be implemented, allowing for faster response to varying attack vectors; during a DDoS attack, rate limiting can be quickly implemented by modifying WAF policies.

DDOS - Cómo funciona un WAF

¿Cuál es la diferencia entre los WAF de la lista de bloqueos y los de la lista de permisos?

Un WAF que opera en función de una lista de bloqueos (modelo de seguridad negativa) protege contra ataques conocidos. Piensa en el WAF de la lista de bloqueos como el portero de una discoteca que tiene instrucciones para denegar el acceso a quienes no cumplen con el código de vestimenta. En cambio, el WAF de la lista de permisos (modelo de seguridad positiva) solo admite el tráfico que ha sido aprobado previamente. Esto es como el portero de una fiesta exclusiva, que solo admite a quienes están en la lista. Tanto las listas de bloqueos como las lista de permisos tienen sus ventajas y desventajas. Por eso, muchos WAF ofrecen un modelo de seguridad híbrida que implementa ambas.

¿Qué son los WAF basados en la red, el host y la nube?

Un WAF puede implementarse de tres maneras distintas, cada cual con sus beneficios y limitaciones:

  • Un WAF basado en la red generalmente se basa en un hardware. Ya que están instalados de manera local, minimizan la latencia. Sin embargo, los WAF basados en la red son la opción más costosa y requieren el almacenamiento y mantenimiento de equipo físico.
  • Un WAF basado en el host puede estar integrado por completo en el software de una aplicación. Esta solución es menos costosa que un WAF basado en la red y ofrece mayor personalización. La desventaja de un WAF basado en el host es el consumo de recursos del servidor local, la complejidad de la implementación y los costos de mantenimiento. En general, estos componentes requieren tiempo de ingeniería y pueden ser costosos.
  • Cloud-based WAFs offer an affordable option that is very easy to implement; they usually offer a turnkey installation that is as simple as a change in DNS to redirect traffic. Cloud-based WAFs also have a minimal upfront cost, as users pay monthly or annually for security as a service. Cloud-based WAFs can also offer a solution that is consistently updated to protect against the newest threats without any additional work or cost on the user’s end. The drawback of a cloud-based WAF is that users hand over the responsibility to a third-party, therefore some features of the WAF may be a black box to them. Learn about Cloudflare's cloud-based WAF solution.

Ventas