In definitiva, la messa in sicurezza di un sistema non significa necessariamente rendere impossibile l'accesso, poiché è praticamente impossibile. Invece, spesso l'obiettivo è rendere abbastanza difficile il fatto che i potenziali hacker abbiano bisogno di una quantità immensa di risorse per farlo, quindi non si preoccupano di provare o passare a obiettivi più facili. I firewall di applicazioni Web sono solo un altro strumento per aiutarti a raggiungere questo obiettivo. Sono in grado di rilevare una gamma piuttosto ampia di attacchi, tra cui l'iniezione di SQL e XSS, e mentre ci sono modi per aggirarli, ci vorrebbe un attaccante piuttosto determinato per farlo. Pertanto, un WAF può svolgere un ruolo molto utile in una strategia a più livelli, difesa e profondità.
Hai ragione, però, in quanto un WAF non è invincibile e non dovrebbe essere una scusa per scrivere codice insicuro, così come ottenere un vaccino non dovrebbe essere una scusa per non lavarsi le mani. Dovrebbe essere trattato solo come ultima linea di difesa e gli sviluppatori non dovrebbero presumere che il WAF proteggerà da tutte le vulnerabilità.
Per quanto riguarda CloudFlare, ritengo che il loro piano gratuito sia principalmente destinato alla CDN / caching e offra solo protezione contro DDoS e attacchi alle applicazioni web di base. Richiedono un piano a pagamento per un WAF più sofisticato.
(E solo per chiarire la terminologia, presumo che tu stia parlando di un WAF e non solo di un proxy inverso. Sebbene un WAF possa essere combinato con un proxy inverso per proteggere molti server / siti contemporaneamente (ad esempio CloudFlare), WAF può essere impostato senza un proxy inverso e viceversa. Come altri hanno già detto, i proxy inversi vengono spesso utilizzati solo per scopi di caching / prestazioni.)