¿Qué tipo de dispositivo es WAF?

Sistema de protección de aplicaciones web (también conocido como sistema de prevención de intrusiones a nivel de aplicaciones de sitios web. Firewall de aplicaciones web, abreviado como WAF). Para usar un dicho reconocido internacionalmente: el firewall de aplicaciones web es un producto que brinda protección especial para las aplicaciones web mediante la implementación de una serie de políticas de seguridad para HTTP/HTTPS.

Funciones de la aplicación

Dispositivo de auditoría

Generar registros de auditoría para los siguientes eventos relacionados con la seguridad propia del sistema:

(1) Administrador Comportamiento de la operación después de iniciar sesión.

(2) Agregar, modificar y eliminar políticas de seguridad.

(3) Agregar, eliminar y modificar roles de gestión.

(4) Establecer o actualizar los parámetros de configuración de otras funciones de seguridad.

Dispositivos de control de acceso

Se utilizan para controlar el acceso a aplicaciones web, incluidos los modos de seguridad activa y pasiva.

Herramientas de diseño de arquitectura/red

Cuando se ejecutan en modo proxy inverso, se utilizan para distribuir funcionalidad, control centralizado, infraestructura virtual, etc.

Herramientas de mejora de aplicaciones WEB

Estas funciones mejoran la seguridad de las aplicaciones WEB protegidas. No solo pueden proteger las debilidades inherentes de las aplicaciones WEB, sino también proteger las aplicaciones web causadas por errores de programación. riesgos de seguridad.

Cabe señalar que no todos los dispositivos denominados Web Application Firewall tienen las cuatro funciones anteriores al mismo tiempo.

Al mismo tiempo, el firewall de aplicaciones WEB también tiene características multifacéticas. Por ejemplo, desde la perspectiva de la detección de intrusiones en la red, WAF puede considerarse como un dispositivo IDS que se ejecuta en la capa HTTP. Desde la perspectiva de un firewall, WAF es un módulo funcional del firewall; algunas personas consideran que WAF es una mejora del "firewall de inspección profunda". (Los firewalls de inspección profunda normalmente funcionan en la tercera capa de la red y superiores, mientras que los firewalls de aplicaciones web manejan servicios HTTP en la capa siete y los soportan mejor).

Características

Protocolo de detección de anomalías

El firewall de aplicaciones web detectará anomalías en las solicitudes HTTP y rechazará las solicitudes que no cumplan con los estándares HTTP. Además, solo puede permitir el paso de determinadas opciones del protocolo HTTP, lo que reduce el alcance del ataque. Aún más, algunos firewalls de aplicaciones web pueden restringir severamente opciones en el protocolo HTTP que son demasiado vagas o no completamente formuladas.

Validación de entrada mejorada

La validación de entrada mejorada puede prevenir eficazmente la manipulación de páginas web, la fuga de información, la implantación de caballos de Troya y otras intrusiones maliciosas en la red. Esto reduce la posibilidad de que el servidor web sea atacado.

Parches oportunos

Reparar las vulnerabilidades de seguridad web es el mayor dolor de cabeza para los desarrolladores de aplicaciones web. Nadie sabe qué tipo de vulnerabilidad aparecerá en el próximo segundo y qué tipo de daño traerá a las aplicaciones web. WAF puede hacer este trabajo por nosotros: siempre que tenga información completa sobre vulnerabilidades, WAF puede bloquear esta vulnerabilidad en menos de una hora. Por supuesto, esta forma de bloquear vulnerabilidades no es perfecta, y no instalar los parches correspondientes es una amenaza a la seguridad en sí misma, pero no tenemos otra opción, cualquier medida de protección es mejor que ninguna medida de protección.

(Nota: el principio de aplicación oportuna de parches se aplica mejor a las aplicaciones basadas en XML porque los protocolos de comunicación de estas aplicaciones están estandarizados).

Protección basada en reglas y protección basada en excepciones.

La protección basada en reglas puede proporcionar reglas de seguridad para varias aplicaciones web. Los proveedores de WAF mantendrán esta base de reglas y la actualizarán periódicamente. Los usuarios pueden comparar varios aspectos de la aplicación con estas reglas. Otros productos pueden crear modelos basados ​​en datos de aplicaciones legítimas y determinar anomalías en los datos de las aplicaciones en función de esto. Pero esto requiere una comprensión profunda de las aplicaciones de la empresa usuaria, lo cual es muy difícil en la realidad.

Gestión del estado

WAF puede determinar si el usuario visita por primera vez, redirigir la solicitud a la página de inicio de sesión predeterminada y registrar el evento. Al detectar todo el comportamiento del usuario, podemos identificar más fácilmente los ataques.

El modo de administración de estado también puede detectar eventos anormales (como fallas de inicio de sesión) y manejarlos cuando se alcanzan los límites. Esto es muy beneficioso para identificar y responder a ataques violentos.

Otras tecnologías de protección

WAF también tiene algunas mejoras de seguridad que pueden usarse para resolver problemas causados ​​por programadores WEB que confían demasiado en los datos de entrada. Por ejemplo: protección de campos de forma oculta, tecnología para evitar intrusiones, monitoreo de respuesta y protección contra fugas de información.