Межсетевой экран веб-приложений (WAF) — это тип брандмауэра, который анализирует протоколы прикладного уровня HTTP\ HTTPS входящего трафика для защиты веб-приложений. WAF способен обнаруживать вредоносные запросы и отвечать на них до их обработки веб-приложениями и веб-серверами, тем самым обеспечивая дополнительный уровень безопасности сети.
При использовании WAF для защиты веб-приложений администраторы безопасности определяют правила, которые разрешают, блокируют или контролируют веб-запросы на основе определенных критериев. Например, вы можете указать правило, согласно которому вам необходимо блокировать все входящие запросы с определенного IP-адреса или только запросы, содержащие определенные HTTP-заголовки
Благодаря тому, что WAF понимают более высокий уровень сетевого трафика, они способны блокировать атаки веб-приложений. Многие из этих атак тесно связаны со списком OWASP Top 10, самых распространённых уязвимостей веб-приложений, таких как атаки с использованием межсайтовых сценариев (XSS), SQL-инъекции, отказ в обслуживании (DoS), а также утечку учетных данных и т.д.
Брандмауэры веб-приложений используют либо положительную, либо отрицательную модель безопасности, либо гибридную модель, состоящую из обеих. Модель позитивной безопасности позволяет межсетевому экрану фильтровать трафик, сравнивая его с белым списком. Все, чего нет в списке, блокируется. В отрицательной модели будет использоваться черный список, который блокирует только определенные элементы, пропуская все остальные.
Рассмотрим основные возможности WAF.
Межсетевые экраны веб-приложений содержат обширную базу данных сигнатур атак, позволяющую отслеживать заранее определенные классы атак на веб-приложение и его компоненты, тем самым предотвращая и смягчая воздействие ранее изученных сетевых атак.
WAF предотвращает компрометацию пользовательских данных, принимая ответные меры против вредоносных программ, троянов, межсайтовых сценариев (XSS-атакам) и SQL-инъекций, которые могут привести к реализации мошеннических действий или краже данных.
WAF поддерживают профилирование приложений с целью улучшения механизмов обнаружение вторжений. Профилирование веб-приложения включает описание всех элементов и типов обмена в приложении. Это позволяет брандмауэру определить легитимное поведение пользователей, что облегчает выявление возможных аномалий.
Также брандмауэры WAF позволяют обеспечить веб-приложениям соответствие требованиям PCI. Соответствие PCI означает, что информационная система защищена от угроз должным уровнем, и клиенты могут доверять ей свои конфиденциальные данные, такие как платежную информацию или другую информацию о транзакциях.
Наконец, WAF поддерживает централизованное управление, благодаря чему упрощается управление правилами и политиками брандмауэра, а также администратору предоставляется больше информации о безопасности и активности в веб-приложении.
Несмотря, на ряд видимых преимуществ WAF также имеет и недостатки.
Во-первых, WAF не защищает от угроз нулевого дня. Показывая эффективность при работе против известных угроз уровня приложений, большинство WAF, особенно с открытым исходным кодом, не могут защитить веб-приложение от атак такого типа.
Во-вторых, как и прочие межсетевые экраны, работа брандмауэров веб-приложений может привести к ложноположительным и ложноотрицательным результатам — WAF, оценивая пакеты данных по нескольким предопределенным шаблонам, могут давать ложные срабатывания, блокируя законные запросы, либо пропуская нежелательные запросы.
Наконец, у WAF могут быть проблемы с производительностью, поскольку их может быть затруднительно интегрировать с веб-сервером. Более того, большинство WAF неспособны быстро адаптироваться к новым веб-приложениям и не могут адаптироваться к изменениям, вносимым в существующее веб-приложение. Это часто приводит к проблемам с производительностью, увеличению накладных расходов и затрат на обслуживание. Многие эксперты связывают проблемы производительности с невозможностью WAF эффективно противостоять DDoS-атакам веб-приложений.