WAF (Firewall de aplicaciones web) es un firewall para aplicaciones web. Es una herramienta de filtrado de tráfico que funciona a nivel de aplicación y protege las aplicaciones web analizando el tráfico HTTP / HTTPS y la semántica XML/SOAP. WAF se puede instalar en un servidor físico o virtual y detecta una amplia variedad de tipos de ataques.

El firewall actúa como un servidor proxy, pero debido a la capacidad de estudiar el tráfico HTTPS verificando el certificado de un servidor específico, WAF está diseñado para realizar operaciones adicionales: equilibrio de carga en el servidor, terminación del tráfico SSL, etc. WAF puede funcionar con agrupación en clústeres y aceleración de aplicaciones.

Modelos de seguridad y modos de funcionamiento

WAF se puede integrar en la red como:

• Pantalla. Monitoreo de red en tiempo real mediante el puerto SPAN.
• Gateway. Hay 3 modos de proxy: transparente, puente e inverso.

WAF funciona de acuerdo con los siguientes modelos de seguridad:

• Negativo. Una especie de “lista negra” que prohíbe la recepción de información específica especificada en la configuración. Protege las aplicaciones web a nivel de aplicación (similar a las IP), pero puede evaluar las amenazas potenciales con más detalle y se usa con más frecuencia para brindar protección contra tipos de ataques “populares” y específicos. Analiza vulnerabilidades de aplicaciones web específicas.
• Positivo. Una “lista blanca” que permite la recepción de información específica que se especificó previamente en la configuración. Le permite obtener la máxima protección, ya que se utiliza como complemento de los modelos. Utiliza un tipo diferente de lógica: reglas que definen lo que está específicamente permitido.

Un ejemplo de trabajo negativo es prohibir una solicitud HTTP GET “incorrecta” predefinida y permitir todo lo demás.

Un ejemplo de cómo funciona Positive: permitir las solicitudes HTTP GET especificadas previamente para una dirección determinada y prohibir todo lo demás.

Características de WAF

• Responda rápidamente a cualquier tipo de ataque a las aplicaciones web incluidas en el OWASP Top 10 (Open Web Application Security Project, un proyecto abierto de seguridad de recursos web).
• La protección es proporcionada por las reglas activas especificadas.
• Verifique el tráfico HTTP / HTTPS que llega a la aplicación y otras solicitudes dirigidas a aplicaciones web, y luego tome decisiones basadas en las reglas y políticas especificadas (bloquear, permitir, enviar una notificación).
• Mantener el funcionamiento estable de los modelos de seguridad Negativos y Positivos, así como cumplir con todas las normas establecidas en su marco.
• Verifique y analice el contenido creado con HTML y DHTML, así como CSS y protocolos de transferencia de aplicaciones HTTPS y HTTP.
• Evite la fuga de información comprobando el tráfico HTTP/HTTPS procedente de las aplicaciones web y tome las medidas especificadas en función de las reglas activas especificadas.
• Mantenga constantemente un registro de eventos y registre en él todas las operaciones completadas, información analítica y otros eventos que hayan ocurrido.
• Analice los servicios web (parcialmente públicos) mediante análisis XML( Lenguaje de marcado eXtensible), mensajería SOAP estructurada y compruebe los servidores web HTTP en busca de modelos de interacción.
• Verifique todos los datos entrantes utilizados para enviar / recibir información de las aplicaciones web.
• Protéjase contra ataques dirigidos específicamente al propio Firewall de aplicaciones web.
• Termine TLS y SSL: descifre y verifique el tráfico antes de enviarlo a una aplicación web.

La principal diferencia entre un firewall y otros métodos de protección de aplicaciones web es un análisis profundo del tráfico de protocolos a nivel de aplicación.