O que é WAF? | O Web Application Firewall explicado

O WAF cria um escudo entre o aplicativo da Web e a Internet. Esse escudo ajuda a mitigar muitos ataques comuns.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir Web Application Firewall
  • Explique a diferença entre um WAF com lista de bloqueios e um WAF com lista da permissões
  • Entender os prós e contras de WAFs na rede, em host e na nuvem

Copiar o link do artigo

O que é Web Application Firewall (WAF)?

A WAF or Web Application Firewall helps protect web applications by filtering and monitoring HTTP traffic between a web application and the Internet. It typically protects web applications from attacks such as cross-site forgery, cross-site-scripting (XSS), file inclusion, and SQL injection, among others. A WAF is a protocol layer 7 defense (in the OSI model), and is not designed to defend against all types of attacks. This method of attack mitigation is usually part of a suite of tools which together create a holistic defense against a range of attack vectors.

Com a implantação de um WAF à frente da aplicação web, é colocado um escudo entre a aplicação e a internet. Enquanto um servidor proxy protege a identidade da máquina cliente com o uso de um intermediário, o WAF é um tipo de proxy reverso que protege o servidor contra a exposição, já que seus clientes passam pelo WAF antes de chegar ao servidor.

A WAF operates through a set of rules often called policies. These policies aim to protect against vulnerabilities in the application by filtering out malicious traffic. The value of a WAF comes in part from the speed and ease with which policy modification can be implemented, allowing for faster response to varying attack vectors; during a DDoS attack, rate limiting can be quickly implemented by modifying WAF policies.

DDOS Como funciona um WAF

Qual é a diferença entre um WAF com lista de bloqueios e um WAF com lista de permissões?

O WAF que opera com uma lista de bloqueios (modelo de segurança negativo) protege contra ataques conhecidos. Imagine que o WAF com lista de bloqueios é como um segurança de boate com instruções para impedir a entrada de pessoas que não atendam às recomendações de traje. Em contrapartida, o WAF com lista de permissões (modelo de segurança positivo) só admite o tráfego que foi pré-aprovado. É como o segurança de uma festa exclusiva que só deixa entrar as pessoas que estão na lista de convidados. Tanto as listas de bloqueios quanto as listas de permissões têm suas vantagens e seus inconvenientes; por isso, muitos WAFs oferecem um modelo de segurança híbrido, que usa os dois tipos de listas.

O que são WAFs baseados na rede, em hospedagem e na nuvem?

O WAF pode ser implantado de três formas diferentes, cada uma delas com suas vantagens e seus inconvenientes:

  • O WAF baseado na rede é, geralmente, baseado em hardware. Como é instalado no local, o WAF minimiza a latência, mas é a opção mais cara e requer também o armazenamento e a manutenção do equipamento físico.
  • O WAF baseado em hospedagem pode ser totalmente integrado ao software de uma aplicação. A solução é mais barata do que o WAF na rede e mais personalizável. As desvantagens do WAF baseado em hospedagem são o consumo de recursos do servidor local, sua implantação complexa e os custos de manutenção. Esses componentes em geral exigem mão de obra de engenharia e podem sair caro.
  • Cloud-based WAFs offer an affordable option that is very easy to implement; they usually offer a turnkey installation that is as simple as a change in DNS to redirect traffic. Cloud-based WAFs also have a minimal upfront cost, as users pay monthly or annually for security as a service. Cloud-based WAFs can also offer a solution that is consistently updated to protect against the newest threats without any additional work or cost on the user’s end. The drawback of a cloud-based WAF is that users hand over the responsibility to a third-party, therefore some features of the WAF may be a black box to them. Learn about Cloudflare's cloud-based WAF solution.