Qu’est-ce qu’un WAF ? | Le pare-feu applicatif Web expliqué

Un WAF crée un bouclier entre une application Web et Internet ; ce bouclier peut aider à atténuer de nombreuses attaques courantes.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le pare-feu applicatif Web
  • Expliquez la différence entre les WAF basés sur une liste bloquée et les WAF basés sur une liste autorisée
  • Comprendre les avantages et inconvénients des WAF basés sur le réseau, sur l’hôte et sur le cloud

Copier le lien de l'article

Qu’est-ce qu’un pare-feu applicatif Web (WAF, Web Application Firewall) ?

A WAF or web application firewall helps protect web applications by filtering and monitoring HTTP traffic between a web application and the Internet. It typically protects web applications from attacks such as cross-site forgery, cross-site-scripting (XSS), file inclusion, and SQL injection, among others. A WAF is a protocol layer 7 defense (in the OSI model), and is not designed to defend against all types of attacks. This method of attack mitigation is usually part of a suite of tools which together create a holistic defense against a range of attack vectors.

En déployant un WAF devant une application web, un bouclier est placé entre l’application web et Internet. Un serveur proxy protège l’identité d’une machine client en utilisant un intermédiaire ; un WAF est un type de proxy inversé qui protège le serveur en faisant passer les clients par le WAF avant d’atteindre le serveur.

A WAF operates through a set of rules often called policies. These policies aim to protect against vulnerabilities in the application by filtering out malicious traffic. The value of a WAF comes in part from the speed and ease with which policy modification can be implemented, allowing for faster response to varying attack vectors; during a DDoS attack, rate limiting can be quickly implemented by modifying WAF policies.

DDOS Comment fonctionne un WAF

Quelle est la différence entre les WAF basés sur une « liste bloquée » et sur une « liste autorisée » ?

Un WAF qui fonctionne en se basant sur une liste bloquée (modèle de sécurité négative) protège contre les attaques connues. On peut comparer un WAF basé sur une liste bloquée à un videur de discothèque chargé de refuser l’accès aux clients qui ne respectent pas le code vestimentaire. À l’inverse, un WAF basé sur une liste autorisée (modèle de sécurité positive) ne laisse entrer que le trafic préalablement approuvé. On peut le comparer à un agent de sécurité à l’entrée d’une soirée privée qui ne laisse entrer que les personnes qui sont sur la liste. Les listes bloquées et approuvées ont des avantages et des inconvénients, c’est pourquoi de nombreux WAF offrent un modèle de sécurité hybride qui utilise les deux listes.

Que sont les WAF basés sur le réseau, sur l’hôte et sur le cloud ?

A WAF can be implemented one of three different ways, each with its own benefits and shortcomings:

  • Un WAF basé sur le réseau est généralement matériel. Installés au niveau local, les WAF basés sur le réseau réduisent la latence mais représentent l’option la plus coûteuse. Ils nécessitent de l’espace et la maintenance des équipements physiques.
  • Un WAF basé sur l’hôte peut être entièrement intégré dans le logiciel d’une application. Cette solution est moins coûteuse qu’un WAF basé sur le réseau et offre plus de possibilités de personnalisation. L’inconvénient d’un WAF basé sur l’hôte est la consommation des ressources du serveur local, la complexité de la mise en œuvre et les coûts de maintenance. Ces composants nécessitent généralement du temps d’ingénierie et peuvent s’avérer coûteux.
  • Cloud-based WAFs offer an affordable option that is very easy to implement; they usually offer a turnkey installation that is as simple as a change in DNS to redirect traffic. Cloud-based WAFs also have a minimal upfront cost, as users pay monthly or annually for security as a service. Cloud-based WAFs can also offer a solution that is consistently updated to protect against the newest threats without any additional work or cost on the user’s end. The drawback of a cloud-based WAF is that users hand over the responsibility to a third party, therefore some features of the WAF may be a black box to them. (A cloud-based WAF is one type of cloud firewall; learn more about cloud firewalls.)

Learn about Cloudflare's cloud-based WAF solution.

Service commercial