Web Uygulaması Güvenlik Duvarı (WAF), uygulamaları ve sunucuları korumak için Köprü Metni Aktarım Protokolü (HTTP) trafiğini filtreleyen, izleyen ve engelleyen bir güvenlik çözümüdür. Bir web uygulaması ile internet arasındaki konuşmada bir dizi kural uygular, kötü niyetli trafikten zararı tespit eder ve potansiyel güvenlik tehditlerinin sisteme sızmasını önler.
Web uygulamalarına ve sunuculara yapılan saldırılar, SQL enjeksiyonları, siteler arası komut dosyası oluşturma (XSS), dağıtılmış hizmet reddi (DDoS), dosya dahil etme, yanlış güvenlik yapılandırmaları, çerez zehirlenmesi, alan manipülasyonu, parametre kurcalama, zorla tarama, gizlilik gibi farklı biçimlerde gelir komuta ve kötü amaçlı yazılım enfeksiyonları. Ağ ile uygulama arasında koruyucu bir katman olmadan, bilgisayar korsanları sunucuya girebilir ve bir şirketin hassas bilgilerine erişebilir.
WAF, sunucuya bağlanmadan önce istemcileri kural tabanlı bir filtre mekanizması aracılığıyla yeniden yönlendirerek bir uygulamayı güvenlik açıklarına karşı korur. Bir bakıma, WAF'a talepler göndererek, onları tarayarak ve ardından web uygulamasına trafik göndererek ters proxy görevi görür. İki yönlü bir HTTP trafiğindeki veri paketlerini analiz ederken, zararlı unsurlar anında tespit edilerek sunucuya girmesi engellenebilir, böylece sistemi saldırılardan korur.
WAF'ın faydaları
WAF, fiziksel bir cihazda, eklentide veya bulut hizmetinde çalışır ve aşağıdaki avantajları sağlar:
- Bir web uygulamasının güvenlik açıklarını ve anında düzeltilmesi gereken kodlama hatalarını keşfeder
- Hassas verilerin yetkisiz olarak uygulama dışına aktarılmasını engeller
- Güvenlik duvarları ve izinsiz girişi önleme araçları gibi diğer çevre savunma ve koruyucu sistemleri tamamlar
- Ağ güvenlik duvarlarını atlayan ve kaynak koduna erişmek zorunda kalmadan bir web uygulamasını savunan saldırıları önler
- Kullanıcıların, güvenlik tehditlerine yanıt olarak bir uygulamanın ayarlarını hızlı bir şekilde değiştirmesine izin verir
Kara liste ve beyaz liste WAF'leri
WAF, kara liste veya negatif güvenlik, beyaz liste veya pozitif güvenlik ve iki güvenlik modelinin bir melezini sunar. Kara liste WAF, bir uygulamanın güvenlik açıklarını açığa çıkarabilecek zararlı veri aktarımlarını reddederek bilinen saldırılara karşı koruma sağlar. Öte yandan, beyaz liste WAF bilinmeyen ve varsayılan trafiği reddederek yalnızca güvenilen ve önceden onaylanmış isteklere izin verir.
WAF türleri
WAF, arka uç veritabanları için veri güvenliğine ihtiyaç duyan e-ticaret, bankacılık ve sosyal medya platformları gibi bir dizi işletme ve sektöre koruma sağlar. Üç şekilde uygulanabilir:
- Ağ tabanlı yerel bir ağa kurulan donanım tabanlı bir WAF türüdür, ancak depolama ve bakım gerektirir ve maliyet gerektirir. Cihaz cihazı pahalı olabilir, ancak dağıtımı ölçeklenebilir.
- Ana bilgisayar tabanlı bir dizi özelleştirme seçeneğiyle uygulamaya entegre edilen daha ucuz bir türdür.
- Bulut tabanlı üçü arasında en uygun fiyatlı ve uygulaması en kolay olanıdır ve düzenli güncellemelerle birlikte gelir. Bulut tabanlı bir WAF, genellikle üçüncü taraf bir sağlayıcı tarafından çalıştırılan bir hizmet olarak güvenlik çözümüdür.