¿Cómo funciona un WAF?

Los WAF se implementan como dispositivos de hardware, software, ambos o a través de la nube, y funcionan con un conjunto específico de reglas llamadas políticas. Estas políticas le indican al cortafuegos WAF qué vulnerabilidades/ lagunas/ comportamiento del tráfico debe buscar, qué hacer en caso de que se detecten vulnerabilidades, etc. En otras palabras, las políticas son las que permiten que WAF proteja las aplicaciones web y los servidores de los ataques.

Entonces, según estas políticas, el WAF seguirá escaneando las aplicaciones web y las solicitudes GET y POST que recibe para identificar y filtrar actividades y solicitudes maliciosas. Lo importante a tener en cuenta es que los WAF analizan no solo los encabezados sino también el contenido de todos los paquetes para bloquear solicitudes ilegítimas y los cortafuegos WAF inteligentes incluso desafían las solicitudes para que el actor demuestre que es humano y no un bot.

Cuando encuentra lagunas en la propia aplicación, el WAF las parchea instantáneamente para bloquear automáticamente a los atacantes y actores maliciosos (bots, direcciones IP de ataque, entradas basadas en ataques, etc.) para que no encuentren estas lagunas. De esta manera, los desarrolladores obtienen un tiempo de gracia para corregir las vulnerabilidades o lagunas en la aplicación.

Un WAF generalmente se configura de acuerdo con tres modelos básicos de seguridad. Estos modelos son:

Modelo de lista blanca: El WAF está configurado para permitir solo el tráfico preaprobado que cumple con los criterios configurados específicamente. Este modelo es más adecuado para su uso en redes internas que solo utiliza un grupo limitado de usuarios (por ejemplo, empleados). Esto se debe a que la inclusión en la lista blanca también puede bloquear las solicitudes y el tráfico legítimos cuando se usa en sitios web y aplicaciones públicos.


Modelo de lista negra: El WAF está configurado para bloquear vulnerabilidades conocidas, firmas de ataque y actores maliciosos para que no accedan a la aplicación web o al servidor mediante el uso de firmas preestablecidas. Por ejemplo, si algunas direcciones IP envían más solicitudes de lo normal, el WAF de la lista negra puede proteger la aplicación contra un ataque DDoS. Este modelo de seguridad es más adecuado para las aplicaciones web que se encuentran en la Internet pública, ya que las solicitudes legítimas también pueden provenir de máquinas cliente desconocidas.


Modelo híbrido: El WAF está configurado para incorporar métodos de listas blancas y listas negras según las necesidades específicas de la aplicación. Se puede utilizar tanto en redes internas como públicas.
La elección del modelo de seguridad depende exclusivamente del contexto, el perfil de riesgo y las necesidades de las aplicaciones y servidores web. La realidad es que las aplicaciones son el corazón de muchas empresas y cambian continuamente y ningún modelo funcionará en todas las situaciones.

¿Fue útil la respuesta? 0 Los Usuarios han Encontrado Esto Útil (0 Votos)

Powered by WHMCompleteSolution