セキュリティエンジニア初心者の苦悩

セキュリティ、無線通信、ネットワークなどなど、技術的なことからキャリア形成など綴るブログ

わふ!? Web Application Fire Wallって何やねん

本日はWAF(Web Application Firewall)について。

転職して最初の頃、「わふ、わふ」言ってる先輩がいたのですが、本気で何言ってんだこの人と思ってました。まさか、わふ=WAF=Web Application Firewallという言葉とは思いもよらず。

通常のファイアウォールとWAFの違い

 前回ファイアウォールについて記事で記載しましたが、通常のファイアウォール通信プロトコルで言うところのレイヤー3/4による通信可否を制御するものでした。

tansokun920.hatenablog.com

 

では、WAFはどういうものなのかと。

名前の通り、Webアプリケーションに特化したファイアウォールということです。つまり、通信プロトコル階層で言うところのレイヤー7。アプリケーション層で制御を行います。しかもHTTP/HTTPSに特化したものです。

WAFの特徴

WAFがアプリケーション層で制御を行うのは分かりましたが、他にどんな特徴があるのか。アプリケーション層、しかもHTTPに特化しているので、よりきめ細やかな設定ができる様になります。以下2つのタイプに分けられます。

  • ポジティブモデル(ホワイトリスト)
    →通信を許可したものだけを通す。原則拒否。
  • ネガティブモデル(ブラックリスト)
    →通信を拒否したものは通さない。原則許可。

このきめ細やかな設定により、WAFではWebアプリの脆弱性をつくような攻撃をブロックできます。SQLインジェクションしかり、XSS、不正ログインなどなど。

いいことづくめの様に思えますが、一応デメリットも。

  • L7の解析が必要なため、処理量が大きく、WAFはコスト高
  • Webアプリに特化しているので、他のアプリケーションには対応していない
  • 処理量が多いので処理遅延が発生する可能性あり

などなど。

とは言っても、公開サーバで攻撃を受けやすいWebアプリケーションの最後の砦の様なものなので、重要なWebサイトにおいては導入した方がいい様に感じます。

 

次回は他のWeb関係の攻撃についてまとめてみます。