WAF란? | 웹 애플리케이션 방화벽 설명

WAF는 웹 앱과 인터넷 사이에 보호 장치를 만듭니다. 이러한 보호 장치는 일반적인 많은 공격을 완화하는 데 도움을 줄 수 있습니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 웹 애플리케이션 방화벽 정의
  • 차단 목록 WAF와 허용 목록 WAF 간의 차이점을 설명합니다
  • 네트워크 기반, 호스트 기반, 클라우드 기반 WAF의 장단점 이해

글 링크 복사

웹 애플리케이션 방화벽(WAF)이란?

A WAF or Web Application Firewall helps protect web applications by filtering and monitoring HTTP traffic between a web application and the Internet. It typically protects web applications from attacks such as cross-site forgery, cross-site-scripting (XSS), file inclusion, and SQL injection, among others. A WAF is a protocol layer 7 defense (in the OSI model), and is not designed to defend against all types of attacks. This method of attack mitigation is usually part of a suite of tools which together create a holistic defense against a range of attack vectors.

WAF를 웹 애플리케이션 앞에 배치하면, 웹 애플리케이션과 인터넷 사이에 보호 장치가 배치됩니다. 프록시 서버는 중개 장치를 사용하여 클라이언트 컴퓨터의 신원을 보호하지만, WAF는 클라이언트가 서버에 도달하기 전에 WAF를 통과하게 만들어, 노출로부터 서버를 보호하는 역방향 프록시의 한 유형입니다.

A WAF operates through a set of rules often called policies. These policies aim to protect against vulnerabilities in the application by filtering out malicious traffic. The value of a WAF comes in part from the speed and ease with which policy modification can be implemented, allowing for faster response to varying attack vectors; during a DDoS attack, rate limiting can be quickly implemented by modifying WAF policies.

DDOS WAF의 작동 원리

차단 목록 WAF와 허용 목록 WAF 간의 차이점은 무엇입니까?

차단 목록을 기반으로 작동하는 WAF(부정적 보안 모델)는 알려진 공격을 방어합니다. 차단 목록 WAF는, 복장 규정에 맞지 않는 손님을 입장시키지 말라는 지시를 받은 클럽 경비로 생각하면 됩니다. 반대로 허용 목록에 기반한 WAF(긍정적 보안 모델)는 사전에 승인된 트래픽만 허용합니다. 이는 초대받은 사람만 입장할 수 있는 파티의 경비와 같으며, 이 경비는 명부에 있는 사람만을 입장시킵니다. 차단 목록과 허용 목록 모두 장점과 단점이 있으며, 이는 많은 WAF가 이 두 가지 모두를 구현하는 하이브리드 보안 모델을 제공하는 이유입니다.

네트워크 기반, 호스트 기반, 클라우드 기반 WAF는 무엇입니까?

WAF는 세 가지 방법 중 하나로 구현될 수 있으며, 각 방법에는 다음과 같은 자체적인 장점과 단점이 있습니다.

  • 네트워크 기반 WAF는 일반적으로 하드웨어 기반입니다. 이는 로컬에 설치되기 때문에 대기 시간이 최소화되지만, 실제 장비를 보관하고 유지 관리해야 하므로, 가장 비용이 많이 드는 대안입니다.
  • 호스트 기반 WAF는 애플리케이션의 소프트웨어에 완전히 통합될 수 있습니다. 이 솔루션은 네트워크 기반 WAF보다 비용이 저렴하고, 사용자 지정 기능이 많아집니다. 이 방법의 단점은 로컬 서버 자원의 소모, 구현 복잡성, 유지 보수 비용입니다. 일반적으로 이러한 구성 요소는 엔지니어링 시간이 필요하며, 비용이 많이 들 수 있습니다.
  • Cloud-based WAFs offer an affordable option that is very easy to implement; they usually offer a turnkey installation that is as simple as a change in DNS to redirect traffic. Cloud-based WAFs also have a minimal upfront cost, as users pay monthly or annually for security as a service. Cloud-based WAFs can also offer a solution that is consistently updated to protect against the newest threats without any additional work or cost on the user’s end. The drawback of a cloud-based WAF is that users hand over the responsibility to a third-party, therefore some features of the WAF may be a black box to them. Learn about Cloudflare's cloud-based WAF solution.