1. Что такое WAF

Web Application Firewall (WAF) - средства фильтрации трафика прикладного уровня, специально ориентированные на веб-приложения. Основное предназначение WAF — защита веб-приложения от несанкционированного доступа, даже при наличии критичных уязвимостей. Применение Web Application Firewall традиционно считается наиболее эффективным подходом к защите веб-ресурсов. WAF может быть реализован как облачный сервис, агент на веб-сервере или специализированное железное или виртуальное устройство.

Untitled

С момента создания локальных и интернет-сетей появилась необходимость в защите пользовательских ПК и серверов от возможного взлома. Изначально это был Firewall — сетевой экран, отсеивающий «подозрительный» трафик (с «серых» IP-адресов). Такая защита примитивная и совсем не подходит для веб-приложений, где взлом может осуществляться даже через «белый» IP. На смену сетевым экранам в дальнейшем пришли:

Пакетные фильтры Сканировали входящий трафик и при обнаружении подозрительного набора пакетов — закрывали соединение.
IDS/IPS Ключевое отличие данной технологии — это одновременная защита через пакетные фильтры и с «прослушиванием» TCP-портов. И в IDS/IPS отслеживается активность не только извне, но и внутри локальной сети. Главный недостаток: большое количество ложных срабатываний, особенно когда интернет-сессия между пользователем и сервером задействует множество портов TCP.
UTM Условно считается модификацией IDS/IPS, но с добавлением дополнительного сетевого экрана (используется как антивирус, прокси, балансировщик и так далее). В сравнении с IDS/IPS — сортирует TCP-порты по сессиям.

Но и UTM оказалось недостаточно. Простой пример: если пользователь одновременно в браузере откроет веб-приложение банка и вкладку с java-скриптом, направленным на инициализацию отправки денег на определенную банковскую карту, то данный процесс не будет предотвращен ни антивирусом, ни самим браузером, ни сетевым экраном, так как весь трафик будет сымитирован как обычные действия пользователя.

Untitled

А Web Application Firewall полностью анализирует трафик и защищает веб-приложения от «несанкционированных» действий и подозрительных атак. Ключевые отличия WAF:

применяется машинное самообучение (на основе пользовательских действий);
интегрированный сканер потенциальных уязвимостей;
поддержка корреляции сетевых атак (даже если задействуется одновременно несколько портов на разных протоколах), что существенно упрощает дальнейший анализ журналов.