웹 애플리케이션 방화벽 ( WAF )은 웹 서비스 로 들어오고 나가는 HTTP 트래픽 을 필터링, 모니터링 및 차단 하는 특정 형태의 애플리케이션 방화벽 입니다 . HTTP 트래픽을 검사하여 SQL 주입 , XSS( 교차 사이트 스크립팅 ), 파일 포함 및 부적절한 시스템 구성과 같은 웹 응용 프로그램의 알려진 취약점을 악용하는 공격을 방지할 수 있습니다.

웹 서버 공격 이 만연하던 1990년대 후반에 전용 웹 애플리케이션 방화벽이 시장에 등장했습니다.

WAF의 초기 버전은 전자 상거래 시장에 중점을 두고 불법 웹 페이지 문자 입력으로부터 보호하는 AppShield 제품 으로 Perfecto Technologies 에서 개발했습니다. 

Kavado와 Gilian 기술의 다른 초기 WAF 제품이 동시에 시장에 출시되어 90년대 후반에 증가하는 웹 애플리케이션 공격을 해결하기 위해 노력했습니다. 2002년에는 WAF 기술의 접근성을 높이기 위해 오픈 소스 프로젝트인 ModSecurity 가 결성되었습니다. 그들은 OASIS WAS TC(Web Application Security Technical Committee)의 취약점 작업을 기반으로 웹 애플리케이션 보호를 위한 핵심 규칙 세트를 완성했습니다. 2003년에는 다음을 통해 규칙을 확장하고 표준화 했습니다. 

그 이후로 시장은 특히 신용 카드 사기 방지 에 중점을 두고 계속 성장하고 발전해 왔습니다 . PCI DSS( Payment Card Industry Data Security Standard ) 의 개발과 함께 카드 소지자 데이터에 대한 통제의 표준화로 인해 이 부문의 보안이 더욱 엄격해졌습니다. CISO Magazine에 따르면 WAF 시장은 2022년까지 54억 8천만 달러로 성장할 것으로 예상됩니다.

웹 응용 프로그램 방화벽은 웹 응용 프로그램에 특별히 적용되는 특수한 유형의 응용 프로그램 방화벽입니다. 

웹 애플리케이션 앞에 배치되고 양방향 웹 기반(HTTP) 트래픽을 분석하여 악성을 탐지하고 차단합니다. 

OWASP는 WAF에 대해 "기술적 관점에서 애플리케이션 자체에 의존하지 않는 웹 애플리케이션 수준의 보안 솔루션"으로 광범위한 기술 정의를 제공합니다. 요구 사항 6.6에 대한 PCI DSS 정보 보충 자료에 따르면 WAF는 "웹 애플리케이션과 클라이언트 끝점 사이에 위치한 보안 정책 시행 지점"으로 정의됩니다. 이 기능은 기기 장치에서 실행되는 소프트웨어나 하드웨어 또는 공통 운영 체제를 실행하는 일반적인 서버에서 구현할 수 있습니다. 독립형 장치일 수도 있고 다른 네트워크 구성 요소에 통합될 수도 있습니다.” 즉, WAF는 웹 애플리케이션의 취약점이 외부 위협에 의해 악용되는 것을 방지하는 가상 또는 물리적 어플라이언스일 수 있다. 이러한 취약점은 애플리케이션 자체가 레거시 유형이거나 설계상 충분히 코딩되지 않았기 때문일 수 있습니다. WAF는 정책 이라고도 하는 규칙 집합의 특수 구성을 통해 이러한 코드 단점을 해결합니다.

이전에 알려지지 않은 취약점은 침투 테스트 또는 취약점 스캐너를 통해 발견할 수 있습니다. 웹 애플리케이션 보안 스캐너라고도 하는 웹 애플리케이션 취약점 스캐너 는 SAMATE NIST 500-269에서 "웹 애플리케이션에서 잠재적인 보안 취약점을 검사하는 자동화된 프로그램"으로 정의됩니다. 이 도구는 웹 애플리케이션별 취약점을 검색하는 것 외에도 소프트웨어 코딩 오류도 찾습니다.” 취약점을 해결하는 것을 일반적으로 교정이라고 합니다. 애플리케이션에서 코드를 수정할 수 있지만 일반적으로 보다 신속한 응답이 필요합니다. 이러한 상황에서는 일시적이지만 즉각적인 수정(가상 패치라고 함)을 제공하기 위해 고유한 웹 응용 프로그램 취약성에 대한 사용자 지정 정책 적용이 필요할 수 있습니다.

WAF는 궁극적인 보안 솔루션이 아니라 네트워크 방화벽 및 침입 방지 시스템과 같은 다른 네트워크 경계 보안 솔루션과 함께 사용하여 전체적인 방어 전략을 제공하기 위한 것입니다.

WAF는 일반적으로 SANS Institute 에서 언급한 포지티브 보안 모델, 네거티브 보안 또는 이 둘의 조합을 따릅니다. WAF는 규칙 기반 논리, 구문 분석 및 서명의 조합을 사용하여 교차 사이트 스크립팅 및 SQL 삽입과 같은 공격을 감지하고 방지합니다. OWASP는 상위 10개 웹 애플리케이션 보안 결함 목록을 생성합니다. 모든 상용 WAF 제품은 최소한 이러한 10가지 결함을 다룹니다. 비상업적 옵션도 있습니다. 앞서 언급했듯이 ModSecurity라는 잘 알려진 오픈 소스 WAF 엔진이 이러한 옵션 중 하나입니다. WAF 엔진만으로는 적절한 보호를 제공하기에 충분하지 않으므로 Trustwave의 Spiderlabs와 함께 OWASP는 GitHub 를 통해 핵심 규칙 세트를 구성하고 유지하는 데 도움을 줍니다 . ModSecurity WAF 엔진과 함께 사용합니다.

작동 모드의 이름은 다를 수 있지만 WAF는 기본적으로 세 가지 다른 방식으로 인라인으로 배포됩니다. 

NSS Labs에 따르면 배포 옵션은 투명 브리지 , 투명 역 프록시 및 역 프록시 입니다. 

'투명성'은 HTTP 트래픽이 웹 애플리케이션으로 직접 전송되므로 WAF가 클라이언트와 서버 간에 투명하다는 사실을 나타냅니다. 

이는 WAF가 프록시 역할을 하고 클라이언트의 트래픽이 WAF로 직접 전송되는 역방향 프록시와 대조됩니다. 

그런 다음 WAF는 필터링된 트래픽을 웹 애플리케이션에 별도로 보냅니다. 

이는 IP 마스킹과 같은 추가 이점을 제공할 수 있지만 성능 지연과 같은 단점을 초래할 수 있습니다.