Web Application Firewall — межсетевой экран для приложений, который способен выявлять и оперативно блокировать атаки, совершаемые злоумышленниками на эти приложения.

Он защищает клиент-серверное ПО методом анализа протокола SOAP, трафика HTTP и HTTPS, а также XML-разметки. WAF можно установить на виртуальный или физический сервер для обнаружения самых разнообразных видов атак.

Принципы функционирования

Работа Web Application Firewall по принципу, похожему на функционирование proxy-сервера. Но WAF может проводить анализ HTTPS-трафика методом проверки сертификата каждого сервера, поэтому этот брандмауэр также рассчитан на решение других задач:

  • ускорение работы web-приложений;
  • распределение нагрузки на серверное оборудование;
  • кластеризация (объединение) клиент-серверного ПО;
  • терминацию SSL-трафика и др.

Возможности

Web Application Firewall способен:

  • быстро пресекать атаки, направленные на клиент-серверное ПО;
  • защищаться от атак непосредственно на сам фаервол;
  • обеспечивать защиту, опираясь на заранее прописанные правила;
  • проводить дешифрацию трафика перед его отправкой конечному ПО;
  • анализировать онлайн-сервисы путем обмена SOAP и исследования XML;
  • проверять серверное ПО на присутствие моделей взаимодействия;
  • анализировать входящий трафик, а также все запросы, поступающие в ПО, и принимать решение о выполнении дальнейших действий (разрешить, заблокировать, уведомить администратора);
  • поддерживать в сбалансированном состоянии модель безопасности Positive и Negative в рамках заранее установленных правил;
  • исследовать данные контента, который был сгенерирован с помощью DHTML, CSS или HTML, прикладных протоколов HTTP и HTTPS;
  • фиксировать все действия в журнал (аналитические данные, события, ошибки и др.);
  • анализировать входящие пакеты информации, которые используются для получения или отправки данных от приложений;
  • минимизировать риски утечки данных, так как он анализирует трафик, исходящий от ПО, а затем выполняет определенные действия на базе заранее заданных правил.

Описываемый фаервол отличается от прочих решений для защиты web-приложений тем, что может проводить максимально глубокий анализ входящего/исходящего трафика.