Che cos’è un WAF? | Il Web Application Firewall nei dettagli

Un WAF crea uno scudo tra un'app Web e Internet, contribuendo a mitigare molti attacchi comuni.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire un web application firewall
  • Illustrare la differenza tra i WAF basati su blocklist e allowlist
  • Comprendere vantaggi e svantaggi di waf basati su rete, su host e su cloud

Copia link dell'articolo

Che cos’è un Web Application Firewall (WAF)?

A WAF or Web Application Firewall helps protect web applications by filtering and monitoring HTTP traffic between a web application and the Internet. It typically protects web applications from attacks such as cross-site forgery, cross-site-scripting (XSS), file inclusion, and SQL injection, among others. A WAF is a protocol layer 7 defense (in the OSI model), and is not designed to defend against all types of attacks. This method of attack mitigation is usually part of a suite of tools which together create a holistic defense against a range of attack vectors.

Anteporre un WAF a un'applicazione equivale a porre uno scudo tra essa e Internet. Mentre un server proxy protegge l'identità di una macchina client utilizzando un intermediario, un WAF funge da proxy inverso, facendo passare i client attraverso il WAF prima che raggiungano il server, proteggendo così quest’ultimo.

A WAF operates through a set of rules often called policies. These policies aim to protect against vulnerabilities in the application by filtering out malicious traffic. The value of a WAF comes in part from the speed and ease with which policy modification can be implemented, allowing for faster response to varying attack vectors; during a DDoS attack, rate limiting can be quickly implemented by modifying WAF policies.

Come funziona un WAF DDOS

Qual è la differenza tra i WAF basati su blocklist e quelli basati su allowlist?

Un WAF che opera sulla base di una blocklist (modello di sicurezza negativo) protegge contro attacchi noti. È possibile pensare a un WAF basato su blocklist come al buttafuori di un club incaricato di impedire l'ingresso agli ospiti che non rispettano il codice di abbigliamento. Al contrario, un WAF basato su allowlist (modello di sicurezza positivo) ammette solo traffico che è stato previamente approvato. Può essere paragonato al buttafuori di una festa esclusiva, che ammette solo le persone incluse nella lista. Sia le blocklist che le allowlist hanno vantaggi e svantaggi, pertanto molti WAF offrono un modello di sicurezza ibrido, che implementa entrambi.

In cosa si distinguono i WAF basati su rete, su host e su cloud?

Un WAF può essere implementato in tre modi diversi, ognuno dei quali con i suoi vantaggi e svantaggi:

  • Un WAF basato su rete è generalmente implementato mediante hardware. Ha il vantaggio di ridurre al minimo la latenza essendo installato localmente. Tuttavia i WAF basati su rete rappresentano l'opzione più costosa e richiedono inoltre un certo spazio fisico e la manutenzione delle apparecchiature.
  • Un WAF basato su host può essere completamente integrato nel software di un'applicazione. Questa soluzione è meno costosa di un WAF basato su rete e offre maggiore personalizzazione. L'inconveniente di un WAF basato su host è il consumo di risorse del server locale, la complessità di implementazione e i costi di manutenzione. Queste componenti infatti richiedono in genere l'impiego di risorse ingegneristiche e possono risultare abbastanza onerose.
  • Cloud-based WAFs offer an affordable option that is very easy to implement; they usually offer a turnkey installation that is as simple as a change in DNS to redirect traffic. Cloud-based WAFs also have a minimal upfront cost, as users pay monthly or annually for security as a service. Cloud-based WAFs can also offer a solution that is consistently updated to protect against the newest threats without any additional work or cost on the user’s end. The drawback of a cloud-based WAF is that users hand over the responsibility to a third-party, therefore some features of the WAF may be a black box to them. Learn about Cloudflare's cloud-based WAF solution.