Qu’est-ce qu’un WAF ? | Le pare-feu applicatif Web expliqué

Un WAF crée un bouclier entre une application Web et Internet ; ce bouclier peut aider à atténuer de nombreuses attaques courantes.

Share facebook icon linkedin icon twitter icon email icon

Pare-feu applicatif Web (WAF)

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir le pare-feu applicatif Web
  • Expliquer la différence entre les WAF liste noire et liste blanche
  • Comprendre les avantages et inconvénients des WAF basés sur le réseau, sur l’hôte et sur le cloud

Qu’est-ce qu’un pare-feu applicatif Web (WAF) ?

Un WAF, ou pare-feu applicatif web, aide à protéger les applications web en filtrant et en surveillant le trafic HTTP entre une application web et Internet. Il protège généralement les applications web, notamment contre les attaques comme la falsification de requête inter-site, le cross-site scripting XSS) , l'inclusion de fichiers et l'injection SQL. Un WAF est une défense du protocole de la couche 7 (dans le modèle OSI). Il n'est pas conçu pour se défendre contre tous les types d'attaques. Cette méthode d'atténuation des attaques fait généralement partie d'une suite d'outils qui, ensemble, créent une défense holistique contre une gamme de vecteurs d'attaque.


Le fait de déployer un WAF devant une application web revient à placer un bouclier entre cette application et Internet. Alors qu'un pare-feu basé sur un proxy protège l'identité d'une machine client en utilisant un intermédiaire, un WAF est un type de proxy inverse, qui protège le serveur de l'exposition en faisant passer les clients via le WAF avant d'atteindre le serveur.


Un WAF fonctionne selon un ensemble de règles souvent appelées politiques. Ces politiques visent à protéger contre les vulnérabilités de l'application en filtrant le trafic malveillant. La valeur d'un WAF provient en partie de la rapidité et de la facilité avec laquelle la modification des politiques peut être mise en œuvre, en apportant une réponse plus rapide aux différents vecteurs d'attaque. Lors d'une attaque DDoS , le rate limiting peut être rapidement implémenté en modifiant les politiques WAF.

DDOS How A WAF Works

Quelle est la différence entre les WAF liste noire et liste blanche ?

Un WAF qui fonctionne sur la base d'une liste noire (modèle de sécurité négatif) protège contre les attaques connues. Vous pouvez vous représenter la liste noire d'un WAF comme le videur d'un club chargé de refuser les invités qui ne respectent pas le code vestimentaire. Inversement, un WAF basé sur une liste blanche (modèle de sécurité positive) n'admet que le trafic qui a été pré-approuvé. On peut le comparer à l'agent de sécurité d'une soirée de gala qui n'admet que les personnes qui sont sur la liste. Les listes noires et les listes blanches ont leurs avantages et leurs inconvénients, c'est pourquoi de nombreux WAF offrent un modèle de sécurité hybride, qui met en œuvre les deux.

Que sont les WAF basés sur le réseau, sur l’hôte et sur le cloud ?

Un WAF peut être mis en place de trois façons différentes, chacune avec ses propres avantages et inconvénients :

  • Un WAF basé sur le réseau est généralement basé sur le matériel. Comme les WAF sont installés localement, ils minimisent la latence, mais les WAF basés sur le réseau sont l'option la plus coûteuse et nécessitent également le stockage et la maintenance de l'équipement physique.
  • Un WAF basé sur l'hôte peut être entièrement intégré dans le logiciel d'une application. Cette solution est moins coûteuse qu'un WAF basé réseau et offre plus de possibilités de personnalisation. L'inconvénient d'un WAF basé sur l'hôte est la consommation des ressources du serveur local, la complexité de la mise en œuvre et les coûts de maintenance. Ces composants nécessitent généralement du temps d'ingénierie et peuvent s'avérer coûteux.
  • Les WAF basés sur le cloud offrent une option abordable très facile à mettre en œuvre. Ils sont généralement assortis d'une installation clé en main qui est aussi simple qu'un changement dans le DNS pour rediriger le trafic. Les WAF basés sur le cloud ont également un coût initial très réduit, car les utilisateurs paient mensuellement ou annuellement pour bénéficier de la sécurité en tant que service. Les WAF basés sur le cloud peuvent également offrir une solution constamment mise à jour pour assurer la protection contre les menaces les plus récentes sans aucun travail ni coût supplémentaire pour l'utilisateur. L'inconvénient d'un WAF basé sur le cloud tient au fait que les utilisateurs confient la responsabilité à un tiers, par conséquent, certaines fonctionnalités du WAF peuvent être une zone noire pour eux. Découvrez la solution WAF basée sur le cloud de Cloudflare
  • .