WAF (Web Uygulama Güvenlik Duvarı), web uygulamaları için bir güvenlik duvarıdır. Uygulama katmanında çalışan ve HTTP/HTTPS trafik analizi ve XML/SOAP semantiği ile web uygulamalarını koruyan bir trafik filtreleme aracıdır. WAF, fiziksel veya sanal bir sunucuya kurulabilir ve çok çeşitli saldırı türlerini tespit edebilir.

Güvenlik duvarı bir proxy sunucusu görevi görür, ancak belirli bir sunucunun sertifikasını kontrol ederek HTTPS trafiğini inceleme fırsatı göz önüne alındığında, WAF ek işlemler gerçekleştirecek şekilde tasarlanmıştır: sunucuya yük dengeleme, SSL trafiğinin sonlandırılması vb. WAF, uygulamaların kümelenmesi ve hızlandırılmasıyla çalışabilir.

Güvenlik modelleri ve çalışma modları

WAF, ağa şu şekilde katıştırılabilir::

• Monitör. SPAN bağlantı noktasını kullanarak ağı gerçek zamanlı olarak izleyin.
• Gateway. 3 proxy modu: şeffaf, köprü ve ters.

WAF, aşağıdaki güvenlik modellerine göre çalışır:

• Negative. Ayarlarda belirtilen belirli bilgilerin alınmasını yasaklayan bir tür “kara liste”. Web uygulamalarını uygulama düzeyinde (ıps’ye benzer) korur, ancak potansiyel tehditleri daha ayrıntılı olarak değerlendirebilir ve «popüler» ve belirli saldırı türlerine karşı koruma sağlamak için daha sık kullanılır. Belirli web uygulamalarının güvenlik açıklarını analiz eder.
• Positive. Ayarlarda önceden belirtilen belirli bilgilerin alınmasına izin veren bir “beyaz liste”. Modellere ek olarak kullanıldığı için maksimum koruma elde etmenizi sağlar. Başka bir mantık türünü kullanır: özellikle neye izin verildiğini belirleyen kurallar.

Negative’in çalışmasına bir örnek: HTTP üzerinden önceden belirlenmiş bir «kötü» GET isteğini reddetmek ve diğer her şeye izin vermek.

Pozitif’in çalışmasına bir örnek: Önceden belirlenmiş bir adres için HTTP üzerinden belirtilen GET isteklerine izin vermek ve diğer her şeyi reddetmek.

WAF yetenekleri

• OWASP Top 10’da yer alan web uygulamalarına yönelik her türlü saldırıya hızlı bir şekilde yanıt verin (Açık Web Uygulama Güvenliği Projesi – Açık web kaynak güvenliği projesi).
• Koruma, belirtilen aktif kurallarla sağlanır.
• Uygulamaya gelen HTTP/HTTPS trafiğini ve web uygulamalarına gönderilen diğer istekleri kontrol edin, ardından belirtilen kurallara ve politikalara göre kararlar alın (engelle, izin ver, bildirim gönder).
• Negatif ve Pozitif güvenlik modellerinin istikrarlı çalışmasını sağlamak ve ayrıca kendi sınırları içinde belirtilen tüm kurallara uymak.
• HTML ve DHTML ile oluşturulan içeriğin yanı sıra CSS ve uygulama aktarım protokolleri HTTPS, HTTP kullanılarak oluşturulan içeriği incelemek ve analiz etmek.
• Web uygulamalarından gelen HTTP/HTTPS trafiğini kontrol ederek bilgi sızıntısını önleyin ve belirtilen etkin kurallara göre belirtilen önlemleri alın.
• Olayların günlüğünü sürekli tutun ve gerçekleştirilen tüm işlemleri, analitik bilgileri ve meydana gelen diğer olayları kaydedin.
• XML (Genişletilebilir İşaretleme Dili) ayrıştırma, yapılandırılmış SOAP mesaj alışverişi yoluyla web hizmetlerini (kısmen genel) analiz edin ve etkileşim modelleri için web sunucularının HTTP’SİNİ kontrol edin.
• Web uygulamalarından bilgi göndermek/almak için uygulanan tüm gelen verileri kontrol edin.
• Özellikle Web Uygulama Güvenlik Duvarı’nın kendisine yönelik saldırılara karşı koruyun.
• TLS’Yİ ve SSL’Yİ sonlandırmak – trafiğin şifresini çözmek ve bir web uygulamasına göndermeden önce doğrulamak.

Güvenlik duvarı ile diğer web uygulama koruma yöntemleri arasındaki temel fark, uygulama katmanı protokollerinin trafiğinin derinlemesine analizidir.