WAF (Web Application Firewall) é um firewall para aplicações web. É uma ferramenta de Filtragem de tráfego que funciona no nível do aplicativo e protege aplicativos da web analisando o tráfego HTTP/HTTPS e a semântica XML/SOAP. O WAF pode ser instalado em um servidor físico ou virtual e detecta uma grande variedade de tipos de ataques.

O firewall atua como um servidor proxy, mas devido à capacidade de estudar o tráfego HTTPS verificando o certificado de um servidor específico, o WAF foi projetado para executar operações adicionais: balanceamento de carga no servidor, Encerramento do tráfego SSL, etc. O WAF pode trabalhar com clustering e aceleração de aplicações.

Modelos de segurança e modos de operação

O WAF pode ser integrado à rede como:

• Tela. Monitoramento de rede em tempo Real usando a porta SPAN.
• Gateway. Existem 3 modos de proxy: transparente, ponte e reverso.

O WAF funciona de acordo com os seguintes modelos de segurança:

• Negativo. Uma espécie de” Lista negra ” que proíbe a recepção de informações específicas especificadas nas Configurações. Protege aplicativos da web no nível do aplicativo (semelhante ao IPS), mas é capaz de avaliar ameaças potenciais com mais detalhes e é usado com mais frequência para fornecer proteção contra tipos de ataques “populares” e específicos. Analisa vulnerabilidades de aplicações web específicas.
• Positivo. Uma “lista branca” que permite a recepção de informações específicas que foram especificadas anteriormente nas Configurações. Ele permite que você obtenha proteção máxima, porque é usado como um complemento aos modelos. Ele usa um tipo diferente de lógica: regras que definem o que é especificamente permitido.

Um exemplo de trabalho negativo: proibir uma solicitação HTTP GET “ruim” predefinida e permitir todo o resto.

Um exemplo de como funciona o positivo: permitir as solicitações HTTP GET especificadas anteriormente para um determinado endereço e proibir todo o resto.

Recursos do WAF

• Responda rapidamente a qualquer tipo de ataque a aplicativos da web incluídos no OWASP Top 10 (Open Web Application Security Project – um projeto de segurança de recursos da web aberto).
• A proteção é fornecida pelas regras ativas especificadas.
• Verifique o tráfego HTTP/HTTPS que chega ao aplicativo e outras solicitações endereçadas a aplicativos da web e, em seguida, tome decisões com base nas regras e políticas especificadas (bloquear, permitir, enviar uma notificação).
• Manter o funcionamento estável dos modelos de segurança negativo e positivo, bem como cumprir todas as regras estabelecidas em sua estrutura.
• Verifique e analise o Conteúdo criado usando HTML e DHTML, bem como os protocolos de transferência de aplicativos CSS e HTTPS e HTTP.
• Evite o vazamento de informações verificando o tráfego HTTP/HTTPS proveniente de aplicativos da web e tome medidas especificadas com base em regras ativas especificadas.
• Mantenha constantemente um log de eventos e registre nele todas as operações concluídas, informações analíticas e outros eventos ocorridos.
• Analise serviços da web (parcialmente públicos) usando análise XML (eXtensible Markup Language), mensagens SOAP estruturadas e verifique os servidores da Web HTTP para modelos de interação.
• Verifique todos os dados de entrada usados para enviar / receber informações de aplicativos da web.
• Proteja-se contra ataques direcionados especificamente ao próprio Firewall de Aplicações Web.
• Encerrar TLS e SSL – descriptografar e verificar o tráfego antes de enviá-lo para um aplicativo da web.

A principal diferença entre um firewall e outros métodos de proteção de aplicativos da web é uma análise profunda do tráfego de protocolos em nível de aplicativo.