WAF란? | 웹 애플리케이션 방화벽 설명

WAF는 웹 앱과 인터넷 사이에 보호 장치를 만듭니다. 이러한 보호 장치는 일반적인 많은 공격을 완화하는 데 도움을 줄 수 있습니다.

Share facebook icon linkedin icon twitter icon email icon

WAF

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 웹 애플리케이션 방화벽 정의
  • 차단 목록 WAF와 허용 목록 WAF 간의 차이점을 설명합니다
  • 네트워크 기반, 호스트 기반, 클라우드 기반 WAF의 장단점 이해

웹 애플리케이션 방화벽(WAF)이란?

WAF(웹 애플리케이션 방화벽)는 웹 애플리케이션과 인터넷 간의 HTTP 트래픽을 필터링하고 모니터링하여 웹 애플리케이션을 보호하는 데 도움을 줍니다. 특히, 사이트 간 위조, XSS(사이트 간 스크립팅), 파일 포함, SQL 삽입 등의 공격으로부터 웹 애플리케이션을 보호하는 것이 일반적입니다. WAF는 OSI 모델에서 프로토콜 계층 7 방어이며, 모든 유형의 공격을 방어하기 위해 설계되지는 않았습니다. 이 공격 완화 방법은 일반적으로 다양한 공격 벡터에 대한 종합적인 방어 기능을 함께 생성하는 도구의 일부분입니다.


WAF를 웹 애플리케이션 앞에 배치하면, 웹 애플리케이션과 인터넷 사이에 보호 장치가 배치됩니다. 프록시 서버는 중개 장치를 사용하여 클라이언트 컴퓨터의 신원을 보호하지만, WAF는 클라이언트가 서버에 도달하기 전에 WAF를 통과하게 만들어, 노출로부터 서버를 보호하는 역방향 프록시의 한 유형입니다.


WAF는 흔히 '정책'이라고 하는 규칙 집합을 통해 작동합니다. 이러한 정책은 악의적인 트래픽을 필터링하여 애플리케이션에 존재하는 취약성을 보호하는 것이 목표입니다. WAF의 가치는 정책 수정을 구현할 수 있는 속도와 용이성에서 나오며, 이를 통해 다양한 공격 벡터에 더 빠르게 대응할 수 있고, DDoS 공격 시, WAF 정책을 수정하여 속도 제한을 빠르게 구현할 수 있습니다.

DDOS WAF의 작동 원리

차단 목록 WAF와 허용 목록 WAF 간의 차이점은 무엇입니까?

차단 목록을 기반으로 작동하는 WAF(부정적 보안 모델)는 알려진 공격을 방어합니다. 차단 목록 WAF는, 복장 규정에 맞지 않는 손님을 입장시키지 말라는 지시를 받은 클럽 경비로 생각하면 됩니다. 반대로 허용 목록에 기반한 WAF(긍정적 보안 모델)는 사전에 승인된 트래픽만 허용합니다. 이는 초대받은 사람만 입장할 수 있는 파티의 경비와 같으며, 이 경비는 명부에 있는 사람만을 입장시킵니다. 차단 목록과 허용 목록 모두 장점과 단점이 있으며, 이는 많은 WAF가 이 두 가지 모두를 구현하는 하이브리드 보안 모델을 제공하는 이유입니다.

네트워크 기반, 호스트 기반, 클라우드 기반 WAF는 무엇입니까?

WAF는 세 가지 방법 중 하나로 구현될 수 있으며, 각 방법에는 다음과 같은 자체적인 장점과 단점이 있습니다.

  • 네트워크 기반 WAF는 일반적으로 하드웨어 기반입니다. 이는 로컬에 설치되기 때문에 대기 시간이 최소화되지만, 실제 장비를 보관하고 유지 관리해야 하므로, 가장 비용이 많이 드는 대안입니다.
  • 호스트 기반 WAF는 애플리케이션의 소프트웨어에 완전히 통합될 수 있습니다. 이 솔루션은 네트워크 기반 WAF보다 비용이 저렴하고, 사용자 지정 기능이 많아집니다. 이 방법의 단점은 로컬 서버 자원의 소모, 구현 복잡성, 유지 보수 비용입니다. 일반적으로 이러한 구성 요소는 엔지니어링 시간이 필요하며, 비용이 많이 들 수 있습니다.
  • 클라우드 기반 WAF는 매우 쉽게 구현할 수 있는 합리적인 가격의 대안입니다. 이들은 일반적으로 트래픽을 리디렉션하기 위해 DNS를 변경하는 것만큼이나 간단한 턴키 설치 방식을 제공합니다. 또한, 클라우드 기반 WAF는 사용자가 서비스로서의 보안에 대해 매월 또는 매년 비용을 지불하기 때문에 초기 비용이 최소화됩니다. 뿐만 아니라, 클라우드 기반 WAF는 최종 사용자의 추가 작업이나 비용 없이 최신 위협을 방어하기 위해 지속적으로 업데이트되는 솔루션을 제공할 수 있습니다. 클라우드 기반 WAF의 단점은 사용자가 책임을 제3자에게 떠넘긴다는 점입니다. 그러므로 WAF의 일부 기능은 이들에게 블랙박스가 될 수 있습니다. Cloudflare의 클라우드 기반 WAF 솔루션에 관해 자세히 알아보세요.