System WAF (ang. Web Application Firewall) to zapora filtrująca ruch przychodzący/wychodzący HTTP/HTTPS, która ma za zadanie blokowanie niebezpiecznych żądań i prób ataków na aplikacje internetowe . Chroni przed wieloma powszechnie stosowanymi przez oszustów rodzajami ataków, zmniejszając ryzyko wycieku danych i minimalizując przestoje wynikające z incydentów bezpieczeństwa. Ogranicza też możliwość nieautoryzowanej modyfikacji witryn internetowych czy też aplikacji webowych.

Stanowi jeden z podstawowych rodzajów zapór ogniowych. Pierwsze rozwiązania WAF zaczęły powstawać pod koniec lat dziewięćdziesiątych. Była to odpowiedź na potrzeby zapewnienia bezpieczeństwa dla rozwijających się witryn, web aplikacji oraz usług chmurowych. Obecnie jest rozwiązaniem powszechnie stosowanym w firmach oferujących usługi internetowe lub działających w branży e-commerce. W praktyce, oprócz zapobiegania atakom, minimalizuje także ryzyko wycieku wrażliwych danych (np. danych kart płatniczych klientów) czy przejęcia kont .

Co ważne, WAF w żaden sposób nie zastępuje firewalla, który działa jako zapora sieciowa, ani też systemów IPS i innych zabezpieczeń. To zupełnie różne rozwiązania bezpieczeństwa. Podczas gdy firewalle sieciowe operują w warstwie 3. i 4. modelu ISO/OSI, filtrując ruch wychodzący i przychodzący do sieci, WAF ma za zadanie chronić ostatnią – 7. warstwę, czyli aplikację.

Z uwagi na sposób działania rozwiązania WAF są często nazywane „odwrotnym proxy”. Serwer proxy pośredniczy w celu ochrony prywatności klienta, zaś WAF stanowi tarczę chroniącą prywatność aplikacji przed potencjalnie złośliwym klientem i filtrującą cały ruch HTTP. WAF analizuje przychodzące do serwera żądania GET i POST, czyli żądania pobierania i wysyłania.

Web Application Firewall może działać w oparciu o whitelisting (akceptując wyłącznie z góry zdefiniowane żądania, adresy IP, treści itp.), blacklisting (blokując tylko te żądania, które zostały zdefiniowane jako potencjalnie złośliwe) lub stosować model hybrydowy , co jest najczęściej spotykanym rozwiązaniem. Ważną cechą rozwiązań WAF jest automatyczna nauka struktur aplikacji oraz specyfiki ruchu przychodzącego. W ten sposób system może ustalić typowe zastosowanie aplikacji oraz wykrywać ewentualne anomalie, które mogą wskazywać na próbę ataku.

WAF realizuje ochronę poprzez wdrożone zestawy zasad/polityki bezpieczeństwa. Atutem tego rozwiązania jest możliwość reagowania na występujące incydenty w czasie rzeczywistym i szybkie modyfikowanie zasad zgodnie z aktualnymi potrzebami.

WAF może być wdrażany w kilku modelach. Najmniejsze opóźnienie i największą kontrolę oferuje rozwiązanie on-premise w formie sprzętowej lub programowej. Wiąże się to jednak ze zwiększonymi kosztami i koniecznością utrzymania systemu. Z uwagi na te cechy popularnym rozwiązaniem cieszą się zapory WAF realizowane w oparciu o chmurę (SaaS). Stanowią wygodną alternatywę w opcji „pod klucz”, dostępną niemal natychmiast i to bez dodatkowych kosztów, jednak mają często ograniczone możliwości w dostosowaniu takiego rozwiązania do potrzeb konkretnej firmy. Nierzadko oferują także wsparcie wyłącznie w języku angielskim, a sam support znajduje się w odległej geograficzne lokalizacji. Takie rozwiązanie pozwala na łatwe skalowanie systemu. Comiesięczne rozliczenia w modelu abonamentowym dają przewidywalne i przyjazne dla firmowego budżetu koszty utrzymania. Zarządzaniem ochroną zajmuje się ponadto zewnętrzny dostawca, a więc firmowy zespół IT może w tym czasie pracować nad tworzeniem, utrzymywaniem i rozwojem kluczowych dla organizacji rozwiązań technologicznych oraz produktów.

OWASP TOP 10 to aktualizowana cyklicznie lista dziesięciu najczęściej występujących i najgroźniejszych ataków wymierzanych w aplikacje internetowe. Rozwiązania WAF oferują użytkownikom ochronę przed głównymi zagrożeniami znajdującymi się na tej liście, w tym bardzo popularnymi atakami typu:

• injection, czyli wstrzykiwaniem złośliwego kodu do systemu lub aplikacji,


• XSS, polegającym na osadzeniu w aplikacji lub witrynie złośliwego kodu, który może być wykorzystywany np. do przejmowania danych użytkowników za pomocą formularzy,


• CSRF, czyli atakami na przeglądarkę internetową, które zmuszają ją do wysyłania fałszywych zapytań HTTP do aplikacji webowej w imieniu ofiary, takich jak zmiana hasła lub nawet przeprowadzenie transakcji płatniczej.

Ponadto WAF może pomóc w uporaniu się z takimi problemami, jak ataki DDoS i botnet. To ostatnie zjawisko, oprócz oczywistego niechcianego wykorzystania przez oszustów mocy obliczeniowej serwerów, dodatkowo obciąża zasoby serwera aplikacji, generując koszty i spowalniając działanie produktu.

Poprawnie skonfigurowane narzędzie WAF pozwoli także zapobiegać tzw. web scrapingowi, czyli automatycznemu pobieraniu danych tekstowych z witryny internetowej. Konkurencja Twojej firmy może używać tego typu narzędzi do analityki Waszych poczynań biznesowych – na przykład zmiany cen na poszczególne produkty w branży e-commerce.

Podstawą zachowania bezpieczeństwa aplikacji jest stała aktualizacja zestawu reguł, według których WAF filtruje ruch. Procesy te są jednak coraz częściej automatyzowane przy użyciu uczenia maszynowego.

Zastosowanie WAF daje firmie wiele wymiernych korzyści, przy jednoczesnym niewielkim koszcie wdrożenia i utrzymania. WAF jest dziś praktycznie koniecznym rozwiązaniem bezpieczeństwa w przypadku każdej firmy posiadającej udostępnioną publicznie aplikację web.

• Kluczową zaletą WAF jest zachowanie ciągłości działania aplikacji końcowych przeznaczonych dla klientów, pracowników i partnerów biznesowych. Każda godzina przestoju może kosztować Twoją firmę nawet dziesiątki tysięcy złotych.


• Stosowanie WAF zmniejsza ryzyko kompromitacji systemów bezpieczeństwa i wycieku wrażliwych danych osobowych, finansowych, medycznych i in.


• Dostępność usługi na żądanie daje duże możliwości skalowania i rozszerzania ochrony o kolejne aplikacje i usługi w Twojej firmie.


• WAF od zaufanego dostawcy nie powoduje utraty wydajności i zmniejszenia szybkości działania aplikacji webowej. Twoi klienci nie odczują mankamentów dodatkowej ochrony.


• WAF w modelu zarządzanym jest w pewnym sensie procesem niezauważalnym dla Twojej firmy – nie angażuje wewnętrznych specjalistów IT, nie wymaga uwagi w kwestii utrzymania ochrony.

Przemawiają do Ciebie powyższe korzyści? Skontaktuj się z nami i sprawdź, w jaki sposób Netia Web Application Firewall może pomóc w zabezpieczeniu Twojego biznesu! Usługa może być monitorowana z poziomu Security Operations Center Netii, zapewniającego kompleksową ochronę dla Twojej sieci i systemów.

Skutecznym uzupełnieniem WAF będzie firewall nowej generacji (NGFW). Choć oba firewalle mają podobne cele, takie jak ochronę sieci i blokowanie złośliwego ruchu, tak głównym obszarem działań WAF jest ochrona warstwy aplikacyjnej, a NGFW skupia się na ochronie sieci i kontroli portów oraz protokołów.

Warto stosować także dedykowaną ochronę przeciw atakom DDoS wymierzanym w warstwę aplikacyjną – na przykład usługę Netia DDoS Protection. Tego rodzaju ataki w warstwie 7. są wyjątkowo trudne do zidentyfikowania, dlatego warto uzupełnić możliwości WAF o ww. rozwiązanie.

Chcesz sprawdzić, czy Twoja firma jest odpowiednio zabezpieczona? Skontaktuj się ze specjalistami Netii!