WAF (Web Application Firewall)

1. WAF의 개념

WAF라는 장비에 대해 알아봅시다. 웹 어플리케이션 방화벽이라는 뜻이다.

웹 어플리케이션 방화벽이라면서 왜 방화벽 카테고리에 안넣고 여기에 넣었는가..

IDS/IPS 장비들과 구성, 관리 방식이 거의 동일하기 때문이다.

 

WAF는 웹에 특화된 L7 방화벽이라고 할 수 있다.

웹 서비스 취약점을 이용한 공격을 탐지/차단하는 보안시스템이다. 

OWASP top 10을 기반으로 적용된 차단룰을 바탕으로 방어한다.

 

요즘 차세대 방화벽, IPS 등에서도 충분히 웹 취약점들에 대해 탐지가 가능한데,

굳이 WAF를 사용하는 이유가 뭘까?

 

WAF가 상대적으로 다른장비보다 가격이 저렴하면서 가장 주된 공격인 웹어플리케이션 공격을 막는 장비이기 때문이다.

또한 WAF는 SSL 통신을 탐지하는 것이 가능하다.

 

주로 사용되는 WAF에는 펜타시큐리티 Wapples, 모니터랩 Webinsight, Barracuda WAF 등이 있다.

 

2. WAF의 기능

WAF에서 제공하는 여러가지 기능에 대해 알아보자.

* Request 메세지 차단 : 요청메세지의 URL 단위 탐지 기능이다. 확장자명으로도 차단이 가능하다.

* Response 메세지 차단 : 웹서버 내부의 에러나 오류 정보를 탐지하고 차단한다. 요즘은 개인정보 차단하는데에 많이 쓰인다.

* HTTP 속성값 탐지 : HTTP 메세지의 속성값이 변조된 것을 탐지가능하다.

* Health check : WAF 하단의 웹서비스 이상유무를 확인 가능하다.

* Bypass : IPS와 마찬가지로 장애발생시 Bypass 기능을 사용가능하다. 

 

 

3. WAF의 위치

WAF는 주로 인라인 구조에 들어가는데, 네트워크 흐름에서 악의적인 의도를 갖고 웹서비스로 접근하는 패킷을 잡아내야 하니까 당근 인라인 구조에 들어가야한다. (미러링으로 구성해도 된다)