Che cos'è un firewall per applicazioni Web (WAF) e quali sono alcune delle cose da cercare in una soluzione efficace? Perché dovresti distribuire un WAF anziché solo un IPS?
Un Web Application Firewall (WAF) è un'appliance, un plug-in del server o un filtro che applica una serie di regole a una conversazione HTTP. Facendo uso delle regole, molti attacchi come Cross-site scripting (XSS) e SQL Injection possono essere rilevati e bloccati.
Per una descrizione più dettagliata vedi il sito Web OWASP e Wikipedia .
Quando si tratta di scegliere un firewall per applicazioni Web, c'è una buona lista su Wikipedia . Personalmente raccomanderei ModSecurity quando utilizzo Apache.
Quando si sceglie un WAF personalmente, le due cose più importanti che prenderei in considerazione sono l'efficacia del set di regole predefinito (ovvero quanto è efficace l'out-the-box) e la personalizzazione del set di regole per la suite dell'applicazione specifica. La maggior parte delle volte usando le regole predefinite le applicazioni si interromperanno e il set di regole dovrà essere modificato. Ovviamente le cose da considerare sono l'efficacia della registrazione, il tipo di velocità che può gestire, le piattaforme che può supportare e quanto è ben gestita. Come con qualsiasi firewall, è necessario mantenerlo aggiornato per ottenere il massimo dai nuovi attacchi.
Sebbene alcuni sistemi IPS come Snort abbiano set di regole che possono monitorare gli attacchi delle applicazioni Web. Nella mia esperienza ho scoperto che un IPS è migliore per catturare attacchi a livello di Rete e un WAF con un buon set di regole funzionerà al meglio per catturare cose a livello di applicazione. Inoltre, usando un WAF hai una scelta migliore di risposte rispetto a un IPS in cui non devi fare una scelta tra il blocco o consentire, invece puoi assumere le azioni.
Leggi altre domande sui tag web-application firewalls waf