WAF

WAF (Web Application Firewall) – межсетевой экран для веб-приложений. Это инструмент для фильтрации трафика, работающий на прикладном уровне и защищающий веб-приложения методом анализа трафика HTTP/HTTPS и семантики XML/SOAP. WAF может устанавливаться на физический или виртуальный сервер и выявляет самые разнообразные виды атак.

Действует межсетевой экран как прокси-сервер, но ввиду возможности изучать HTTPS-трафик методом проверки сертификата конкретного сервера WAF рассчитан на выполнение дополнительных операций: балансировку нагрузки на сервер, терминацию трафика SSL и т.д. WAF может работать с кластеризацией и акселерацией приложений.

Модели безопасности и режимы работы

WAF может встраиваться в сеть как:

• Монитор. Мониторинг сети в режиме реального времени с помощью порта SPAN.
• Gateway. 3 режима прокси: transparent, bridge и reverse.

Работает WAF по следующим моделям безопасности:

• Negative. Некий «черный список», запрещающий прием конкретной информации, прописанной в настройках. Защищает веб-приложения на прикладном уровне (аналог IPS), но умеет оценивать потенциальные угрозы детальнее и чаще применяется для обеспечения защиты от «популярных» и специфических типов атак. Анализирует уязвимости конкретных веб-приложений.
• Positive. «Белый список», разрешающий прием конкретной информации, которая была заранее указана в настройках. Позволяет получить максимальную защиту, т.к. применяется в качестве дополнения к моделям. Задействует другой тип логики: правила, определяющие, что конкретно разрешено.

Пример работы Negative: запрещать заранее заданный «плохой» запрос GET по HTTP и разрешать все остальное.

Пример работы Positive: разрешать указанные ранее запросы GET по HTTP для заданного адреса и запрещать все остальное.

Возможности WAF

• Быстро реагировать на любые разновидности атак на веб-приложения, которые входят в OWASP Top 10 (Open Web Application Security Project – открытый проект обеспечения безопасности веб-ресурсов).
• Защита обеспечивается заданными активными правилами.
• Проверять поступающий на приложение трафик HTTP/HTTPS и остальные запросы, адресуемые веб-приложениям, после чего принимать решения на основании заданных правил и политики (блокировать, разрешить, отправить уведомление).
• Поддерживать стабильную работу моделей безопасности Negative и Positive, а также соблюдать все заданные в их рамках правила.
• Проверять и анализировать контент, созданный при помощи HTML и DHTML, а также CSS и прикладных протоколов передачи HTTPS, HTTP.
• Предотвращать утечку информации, проверяя исходящий от веб-приложений трафик HTTP/HTTPS, и принимать заданные меры на основании заданных активных правил.
• Постоянно вести журнал событий и записывать в него все выполненные операции, аналитическую информацию и другие произошедшие события.
• Анализировать веб-сервисы (отчасти публичные) методом анализа XML (eXtensible Markup Language), обмена структурированными сообщениями SOAP и проверять HTTP веб-сервера на наличие моделей взаимодействия.
• Проверять все входящие данные, применяемые для отправки/получения информации от веб-приложений.
• Защищать от атак, направленных конкретно на сам Web Application Firewall.
• Терминировать TLS и SSL – расшифровывать и проверять трафик перед тем, как отправить его веб-приложению.

Главное отличие межсетевого экрана от других методов защиты веб-приложений – глубокий анализ трафика протоколов прикладного уровня.