本日はWAF(Web Application Firewall)について。
転職して最初の頃、「わふ、わふ」言ってる先輩がいたのですが、本気で何言ってんだこの人と思ってました。まさか、わふ=WAF=Web Application Firewallという言葉とは思いもよらず。
通常のファイアウォールとWAFの違い
前回ファイアウォールについて記事で記載しましたが、通常のファイアウォールは通信プロトコルで言うところのレイヤー3/4による通信可否を制御するものでした。
では、WAFはどういうものなのかと。
名前の通り、Webアプリケーションに特化したファイアウォールということです。つまり、通信プロトコル階層で言うところのレイヤー7。アプリケーション層で制御を行います。しかもHTTP/HTTPSに特化したものです。
WAFの特徴
WAFがアプリケーション層で制御を行うのは分かりましたが、他にどんな特徴があるのか。アプリケーション層、しかもHTTPに特化しているので、よりきめ細やかな設定ができる様になります。以下2つのタイプに分けられます。
このきめ細やかな設定により、WAFではWebアプリの脆弱性をつくような攻撃をブロックできます。SQLインジェクションしかり、XSS、不正ログインなどなど。
いいことづくめの様に思えますが、一応デメリットも。
- L7の解析が必要なため、処理量が大きく、WAFはコスト高
- Webアプリに特化しているので、他のアプリケーションには対応していない
- 処理量が多いので処理遅延が発生する可能性あり
などなど。
とは言っても、公開サーバで攻撃を受けやすいWebアプリケーションの最後の砦の様なものなので、重要なWebサイトにおいては導入した方がいい様に感じます。
次回は他のWeb関係の攻撃についてまとめてみます。