Pare-feu applicatif Web (WAF)

Un WAF crée un bouclier entre une application Web et Internet ; ce bouclier peut aider à atténuer de nombreuses attaques courantes.

Share facebook icon linkedin icon twitter icon email icon

Pare-feu applicatif Web (WAF)

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir le pare-feu applicatif Web
  • Expliquer la différence entre les WAF liste noire et liste blanche
  • Comprendre les avantages et inconvénients des WAF basés sur le réseau, sur l’hôte et sur le cloud

Qu’est-ce qu’un pare-feu applicatif Web (WAF) ?

Un WAF ou pare-feu applicatif Web aide à protéger les applications Web en filtrant et en surveillant le trafic HTTP entre une application Web et Internet. Il protège généralement les applications Web des attaques notamment de cross-site request forgery (CSRF), de cross-site scripting (XSS), d’inclusion de fichier et d’injection SQL. Un WAF est une protection du protocole de la couche 7 (dans le modèle OSI) et n’est pas conçu pour défendre tous les différents types d’attaques. Cette méthode d’atténuation des attaques fait généralement partie d’une suite d’outils qui forment une défense d’ensemble contre une variété de vecteurs d’attaque.


En déployant un WAF devant une application Web, un bouclier est placé entre l’application Web et l’Internet. Un serveur proxy protège l’identité d’une machine client en utilisant un intermédiaire ; un WAF est un type de proxy inversé qui protège le serveur en faisant passer les clients par le WAF avant d’atteindre le serveur.


Un WAF suit un ensemble de règles souvent appelé politiques. Ces politiques visent à se protéger des vulnérabilités dans l’application en filtrant le trafic malveillant. La valeur d'un WAF provient en partie de la rapidité et de la facilité avec laquelle la modification de politique peut être appliquée, permettant une réponse plus rapide aux différents vecteurs d'attaque ; lors d'une attaque DDoS, la limitation du débit peut être rapidement activée en modifiant les politiques du WAF.

DDoS Comment fonctionne un WAF

Quelle est la différence entre les WAF liste noire et liste blanche ?

Un WAF qui fonctionne en se basant sur une liste noire (modèle de sécurité négative) protège contre les attaques connues. Imaginez qu’un WAF liste noire est comme un videur de discothèque chargé de refuser l’accès aux visiteurs qui ne respectent pas le code vestimentaire. À l’inverse, un WAF basé sur une liste blanche (modèle de sécurité positive) ne laisse entrer que le trafic préalablement approuvé. À l’image du physionomiste à l’entrée d’une fête privée, il ou elle ne laisse entrer que les personnes qui sont sur la liste. Les listes noires et listes blanches ont des avantages et des inconvénients ; c’est pourquoi de nombreux WAF offrent un modèle de sécurité hybride qui met en place les deux listes.

Que sont les WAF basés sur le réseau, sur l’hôte et sur le cloud ?

Un WAF peut être mis en place de trois façons différentes, chacune avec ses propres avantages et inconvénients :

  • Un WAF basé sur le réseau est généralement matériel. Installés au niveau local, les WAF basés sur le réseau réduisent la latence mais représentent l’option la plus coûteuse et nécessitent de l’espace et l’entretien d’équipement physique.
  • Un WAF basé sur l’hôte peut être entièrement intégré au logiciel d’une application. Cette solution est moins coûteuse qu’un WAF basé sur le réseau et offre plus de possibilités de personnalisation. Les inconvénients d’un WAF basé sur l’hôte sont la consommation de ressources serveur locales, la complexité de l’implémentation et les coûts d’entretien. Ces composants requièrent généralement du temps et peuvent être coûteux.
  • Les WAF basés sur le cloud offrent une alternative abordable et très facile à mettre en œuvre ; généralement, ils proposent une installation clé en main aussi simple qu’un changement de DNS pour rediriger le trafic. Les WAF basés sur le cloud ont également un coût initial minimal, car les utilisateurs paient tous les mois ou tous les ans pour la sécurité en tant que service. Les WAF basés sur le cloud peuvent également offrir une solution continuellement mise à jour pour se protéger contre les menaces les plus récentes sans aucun travail ni coût supplémentaire pour l’utilisateur. L'inconvénient d'un WAF basé sur le cloud est que les utilisateurs transfèrent la responsabilité à un tiers ; par conséquent, certaines de ses fonctionnalités peuvent constituer une boîte noire pour eux. Découvrez la solution WAF basée sur le cloud de Cloudflare.