WAF (Web Application Firewall) is een firewall voor webapplicaties. Het is een verkeersfiltertool die op applicatieniveau werkt en webtoepassingen beschermt door HTTP/HTTPS-verkeer en XML/SOAP-semantiek te analyseren. WAF kan worden geïnstalleerd op een fysieke of virtuele server en detecteert een breed scala aan soorten aanvallen.

De firewall fungeert als een proxyserver, maar vanwege de mogelijkheid om HTTPS-verkeer te bestuderen door het certificaat van een specifieke server te verifiëren, is WAF ontworpen om extra bewerkingen uit te voeren: load balancing op de server, beëindiging van SSL-verkeer, enz. WAF kan werken met clustering en versnelling van applicaties.

Veiligheidsmodellen en bedrijfsmodi

WAF kan in het netwerk worden geïntegreerd als:

• Scherm. Real-time netwerkbewaking met behulp van de SPAN-poort.
• Gateway. Er zijn 3 proxy modi: transparant, bridge en reverse.

WAF werkt volgens de volgende beveiligingsmodellen::

• Negatief. Een soort “zwarte lijst” die de ontvangst van specifieke informatie in de instellingen verbiedt. Beschermt webtoepassingen op applicatieniveau (vergelijkbaar met IPS), maar is in staat om potentiële bedreigingen in meer detail te beoordelen en wordt vaker gebruikt om bescherming te bieden tegen “populaire” en specifieke soorten aanvallen. Analyseert kwetsbaarheden van specifieke webapplicaties.
• Positief. Een “witte lijst” waarmee specifieke informatie kan worden ontvangen die eerder in de instellingen is opgegeven. Hiermee kunt u maximale bescherming krijgen, omdat het wordt gebruikt als aanvulling op modellen. Het gebruikt een ander type logica: regels die definiëren wat specifiek is toegestaan.

Een voorbeeld van negatief werk is om een vooraf gedefinieerd “slecht” HTTP GET-verzoek te verbieden en al het andere toe te staan.

Een voorbeeld van hoe positief werkt: om de eerder opgegeven HTTP GET-verzoeken voor een bepaald adres toe te staan en al het andere te verbieden.

WAF-kenmerken

• Reageer snel op elke vorm van aanvallen op webtoepassingen die zijn opgenomen in de OWASP Top 10 (Open Web Application Security Project – een open web resource security project).
• Bescherming wordt geboden door de opgegeven actieve regels.
• Controleer het HTTP / HTTPS-verkeer dat naar de applicatie komt en andere verzoeken gericht aan webtoepassingen en neem vervolgens beslissingen op basis van de opgegeven regels en beleidsregels (blokkeren, toestaan, een melding verzenden).
• Om de stabiele werking van de negatieve en positieve beveiligingsmodellen te handhaven, en om te voldoen aan alle regels die daarin zijn vastgelegd.
• Controleer en analyseer inhoud die is gemaakt met behulp van HTML en DHTML, evenals CSS en HTTPS-en HTTP-toepassingsprotocollen.
• Voorkom informatielekken door HTTP/HTTPS-verkeer afkomstig van webtoepassingen te controleren en neem gespecificeerde maatregelen op basis van gespecificeerde actieve regels.
• Houd voortdurend een gebeurtenislogboek bij en noteer daarin alle voltooide bewerkingen, analytische informatie en andere gebeurtenissen die zich hebben voorgedaan.
• Analyseer webservices (deels Openbaar) met behulp van XML-analyse (eXtensible Markup Language), gestructureerde SOAP-berichten en controleer HTTP-webservers op interactiemodellen.
• Controleer alle inkomende gegevens die worden gebruikt om informatie van webapplicaties te verzenden/ontvangen.
• Bescherm tegen aanvallen die specifiek gericht zijn op de Web Application Firewall zelf.
• Beëindig TLS en SSL-ontsleutel en verifieer verkeer voordat u het naar een webtoepassing verzendt.

Het belangrijkste verschil tussen een firewall en andere methoden voor het beschermen van webtoepassingen is een diepgaande analyse van het verkeer van protocollen op applicatieniveau.